File name: 6547612.exe Detection ratio: 1 / 55

显示全部楼层 · 发表于 2016-2-1 22:19:41

SHA256: 7c4838a7fb5901deb63200142bb4716452be2f855818995c801521ffc285b1f5
File name: 6547612.zip
Detection ratio: 1 / 55
Analysis date: 2016-02-01 14:16:11 UTC ( 1 minute ago )

McAfee-GW-Edition BehavesLike.Dropper.cc 20160201

https://www.virustotal.com/en/fi ... nalysis/1454336171/

显示全部楼层 · 发表于 2016-2-1 22:21:36

Trojan:W32/Fakedoc.88700cf7a5!Online

应该算是云拉黑吧

显示全部楼层 · 发表于 2016-2-1 22:51:32

我去他大爷的，这不是那个添加启动项，SSF拦截不了那个吗？？？

显示全部楼层 · 发表于 2016-2-1 22:57:42

01.02.2016 22.56.58;应用程序已添加至组不信任组;C:\Users\wuliao\Desktop\6547612\6547612.exe;C:\Users\wuliao\Desktop\6547612\6547612.exe;C:\Users\wuliao\Desktop\6547612\6547612.exe;02/01/2016 22:56:58

显示全部楼层 · 发表于 2016-2-1 23:29:59

wd拦截

显示全部楼层 · 发表于 2016-2-1 23:36:41

BD扫描miss

显示全部楼层 · 发表于 2016-2-1 23:49:25

01.02.2016 23.49.16;Detected object (file) deleted.;D:\360安全浏览器下载\6547612 (1)\6547612.exe;WinRAR 压缩文件管理器;D:\360安全浏览器下载\6547612 (1)\6547612.exe;02/01/2016 23:49:16;UDS:DangerousObject.Multi.Generic

显示全部楼层 · 发表于 2016-2-2 08:57:57

文件名: 6547612.exe
威胁名称: SONAR.SelfHijack!gen1
完整路径: 不可用

____________________________

详细信息
极少用户信任的文件, 极新的文件, 风险高

原始
下载自
未知

活动
已执行的操作: 15

____________________________

在电脑上的创建时间
2016-2-2 ( 08:57:28 )

上次使用时间
2016-2-2 ( 08:57:28 )

启动项目
否

已启动
是

____________________________

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

来源: 外部介质

源文件:
6547612.exe

____________________________

文件操作

文件: f:\norton样本\临时收集\ 6547612.exe 已删除
文件: c:\users\administrator\appdata\roaming\ pygmy.dll 已删除
文件: c:\users\administrator\appdata\roaming\ backgroundmon.xml 已删除
文件: c:\users\administrator\appdata\roaming\ man.charmap.uri.xml 已删除
文件: c:\users\administrator\appdata\roaming\ tweakrepairwinsock_he.p5p 已删除
文件: c:\users\administrator\appdata\roaming\ manespermatozoid 已删除
文件: c:\users\administrator\appdata\roaming\ tweakchkdsk_nb.p5p 已删除
文件: c:\users\administrator\appdata\roaming\ region.before.extent.xml 已删除
事件: 正在运行进程: f:\norton样本\临时收集\ 6547612.exe 已终止
目录: c:\Users\administrator\AppData\Local\Temp\ nsmBCAC.tmp 需要重新启动
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\临时收集\6547612.exe, PID:4704) 未采取操作
事件: PE 文件创建: c:\users\administrator\appdata\roaming\ pygmy.dll (执行者 f:\norton样本\临时收集\6547612.exe, PID:4704) 未采取操作
事件: PE 文件创建: c:\Users\administrator\AppData\Local\Temp\nsmBCAC.tmp\ System.dll (执行者 f:\norton样本\临时收集\6547612.exe, PID:4704) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ 6547612.exe, PID:4724 (执行者 f:\norton样本\临时收集\6547612.exe, PID:4704) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ 6547612.exe, PID:4704 (执行者 f:\norton样本\临时收集\6547612.exe, PID:4704) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2016-2-2 09:14:31

ESET Smart Security 64位（高级启发式+启发式+DNA+智能签名）++（Win 10 th2....）： Win32/Boaxxe.BR
病毒库: 12962P (20160201)
快速响应模块: 7431 (20160201)
更新模块: 1062 (20151228)
病毒和间谍软件扫描程序模块: 1478 (20160121)
高级启发式扫描模块: 1167 (20160128)
压缩文件支持模块: 1245 (20160118)
清除器模块: 1117 (20160122)
反隐藏支持模块: 1093 (20151216)
个人防火墙模块: 1297 (20160126)

奇虎360杀毒 64位（QVM二代、360云查杀、Avira、BitDefender）++（Win 7....）：

。。。。查杀结果看图：Scan finished...3/21 scanners reported malware.

6547612.zip - Jotti's malware scan https://virusscan.jotti.org/en-GB/filescanjob/jr178wk73b

样本MD5：
文件名: C:\Users\xfxnet2000\Desktop\MX Player Pro\刘嘉欣\7346797\958202\952802\馨妍\ZipX\6547612.zip
文件大小: 105963 字节 (103.48 KB)
修改日期: 2016-02-02 09:04
MD5: af40c9dfc327fe30209dc7da4340e626
SHA1: 8911679c6b46ea880f5b174dd43ab376011d867c
SHA256: 7c4838a7fb5901deb63200142bb4716452be2f855818995c801521ffc285b1f5
CRC32: ae009ff9

显示全部楼层 · 发表于 2016-2-2 09:30:50

Kaspersky
Internet Security
ACCESS DENIED
The requested URL cannot be provided

Object URL:

https://att.kafan.cn/forum.php?mo ... Dk3NTc3MnwxOTYxMzk4

Reason:

The object is infected by Trojan-Ransom.NSIS.Onion.iro
Message generated on: 2016/2/2 9:30:34

[可疑文件] File name: 6547612.exe Detection ratio: 1 / 55

本帖子中包含更多资源

本帖子中包含更多资源