远控木马

租车司机

exe远控木马。也是很牛的木马,要杀他exe才行。



要杀exe，踊跃上报。

xyz0703

文件名: 货价表.exe
完整路径: C:\Users\XYZ\Desktop\货价表\货价表.exe

____________________________

____________________________


开发人员 
不可用

版本 
6.1.7600.16385

已识别 
2016/1/13 星期三 ( 12:01:50 )

上次使用时间 
不可用

启动项 
否


____________________________


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

未知
有关此文件的信息不足，无法推荐它。


____________________________


源文件:
货价表.exe

____________________________


文件指纹 - SHA:
904cca1edaf2ed5b84a03b74fb0de5d34ec5300e72f96d5d8fbb5be19b595f02
文件指纹 - MD5:
9bee75ad23cc406953a857aa56107062

胖福

文件名: crossfire.exe
威胁名称: SONAR.Heuristic.132完整路径: 不可用

____________________________

____________________________


在电脑上的创建时间 
2016-1-13 ( 12:06:57 )

上次使用时间 
2016-1-13 ( 12:06:57 )

启动项目 
否

已启动 
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


crossfire.exe 威胁名称: SONAR.Heuristic.132
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
crossfire.exe

____________________________

文件操作

文件: c:\users\administrator\appdata\roaming\03229dc8bf8e4ad146df1af0e4b8ea9c\ crossfire.exe 威胁已删除
文件: f:\norton样本\临时收集\货价表\ 货价表.com 威胁已删除
文件: c:\users\administrator\appdata\roaming\03229dc8bf8e4ad146df1af0e4b8ea9c\ release.dll 威胁已删除
文件: c:\users\administrator\appdata\roaming\microsoft\windows\start menu\programs\startup\ 03229dc8bf8e4ad146df1af0e4b8ea9c.lnk 威胁已删除
目录: c:\users\administrator\appdata\roaming\ 03229dc8bf8e4ad146df1af0e4b8ea9c 威胁已删除
____________________________

注册表操作

注册表更改: HKEY_CLASSES_ROOT\ .key 威胁已删除
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Microsoft\Direct3D\ MostRecentApplication->Name:XSkyWalker.exe 已修复
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500_CLASSES\Local Settings\MuiCache\82\ AAF68885->LanguageList:... 已修复
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Common Client\ccIPC\ Endpoints 不需要操作
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Common Client\ccIPC\ Endpoints->{7A4A0B78-FC1C-465C-B9E4-5B62071DE3EF} 不需要操作
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Common Client\ccIPC\ Endpoints 需要重新启动
____________________________

网络操作

事件: 网络活动 (执行者 c:\users\administrator\appdata\roaming\03229dc8bf8e4ad146df1af0e4b8ea9c\crossfire.exe, PID:4072) 未采取操作
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\administrator\appdata\roaming\03229dc8bf8e4ad146df1af0e4b8ea9c\crossfire.exe, PID:4072) 未采取操作
(执行者 c:\users\administrator\appdata\roaming\03229dc8bf8e4ad146df1af0e4b8ea9c\crossfire.exe, PID:4072) 未采取操作
事件: 进程启动: c:\users\administrator\appdata\roaming\03229dc8bf8e4ad146df1af0e4b8ea9c\ crossfire.exe, PID:4072 (执行者 c:\users\administrator\appdata\roaming\03229dc8bf8e4ad146df1af0e4b8ea9c\crossfire.exe, PID:4072) 未采取操作
事件: 进程启动 (执行者 f:\norton样本\临时收集\货价表\货价表.com, PID:6080) 未采取操作
事件: PE 文件创建: c:\users\administrator\appdata\roaming\03229dc8bf8e4ad146df1af0e4b8ea9c\ crossfire.exe (执行者 f:\norton样本\临时收集\货价表\货价表.com, PID:6080) 未采取操作
(执行者 f:\norton样本\临时收集\货价表\货价表.com, PID:6080) 未采取操作
事件: 进程启动: c:\users\administrator\appdata\roaming\03229dc8bf8e4ad146df1af0e4b8ea9c\ crossfire.exe, PID:4072 (执行者 f:\norton样本\临时收集\货价表\货价表.com, PID:6080) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\货价表\ 货价表.com, PID:6080 (执行者 f:\norton样本\临时收集\货价表\货价表.com, PID:6080) 未采取操作
____________________________

可疑操作

(执行者 f:\norton样本\临时收集\货价表\货价表.com, PID:6080) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

莒县小哥

单奔360安全卫士，双击  防御失败

猥琐大叔

T.Yoshiyuki

FSP拦截


补充：FSCS没反应

230f4

已上报bitdefender，最迟明天知道结果。
不入库

275751198

当然要杀EXE了，因为JPG和快捷方式都是白的呀

T.Yoshiyuki

胖福 发表于 2016-1-13 12:08
文件名: crossfire.exe
威胁名称: SONAR.Heuristic.132完整路径: 不可用

新手提问：从这些行为来看好像没什么复杂的呀 释放一个exe 很无脑地添加自启
就是注册表更改: HKEY_CLASSES_ROOT\ .key 不知道什么意思

恩 主要是我刚才脑残 看虚拟机FSP拦截 所以实机双击结果FSCS没拦截 准备手动清除
删除了释放的文件 注册表对应地弄了下 应该没事吧……

vm001

莒县小哥 发表于 2016-1-13 12:16
单奔360安全卫士，双击  防御失败

用国际板吧