File name: B252.tmp.exe Detection ratio: 3 / 53 加密勒索挂马 国产三国演义

windows7爱好者

nick20010117 发表于 2016-2-4 20:34
反正我的是正版的，再说8元的蜘蛛还是承担得起的

果然其实样本区隐藏土豪真多

pal家族

04.02.2016 20.44.53;Detected object (file) deleted.;D:\360安全浏览器下载\B252.tmp\B252.tmp.exe;WinRAR 压缩文件管理器;D:\360安全浏览器下载\B252.tmp\B252.tmp.exe;02/04/2016 20:44:53;UDS:DangerousObject.Multi.Generic

墨家小子

[mw_shl_code=css,true]文件名: b252.tmp.exe
威胁名称: SONAR.SuspBeh!gen244完整路径: 不可用

____________________________

____________________________


在电脑上的创建时间 
2016/2/4 ( 20:42:43 )

上次使用时间 
2016/2/4 ( 20:42:43 )

启动项目 
否

已启动 
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


b252.tmp.exe 威胁名称: SONAR.SuspBeh!gen244
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
explorer.exe

创建的文件:
b252.tmp.exe

____________________________

文件操作

文件: c:\users\AA\desktop\1\ b252.tmp.exe 威胁已删除
目录: c:\users\AA\appdata\roaming\ 3f5987ac3 威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\AA\desktop\1\b252.tmp.exe, PID:1104) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ svchost.exe, PID:7668 (执行者 c:\users\AA\desktop\1\b252.tmp.exe, PID:1104) 未采取操作
事件: 进程启动: c:\users\AA\desktop\1\ b252.tmp.exe, PID:1104 (执行者 c:\users\AA\desktop\1\b252.tmp.exe, PID:1104) 未采取操作
事件: PE 文件创建: c:\users\AA\appdata\roaming\3f5987ac3\ 8c8ac18a79.exe (执行者 c:\users\AA\desktop\1\b252.tmp.exe, PID:1104) 未采取操作
____________________________

可疑操作

(执行者 c:\users\AA\desktop\1\b252.tmp.exe, PID:1104) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用


文件名: b252.tmp.exe
威胁名称: SONAR.SuspBeh!gen115完整路径: 不可用

____________________________

____________________________


在电脑上的创建时间 
不可用

上次使用时间 
(  )

启动项目 
否

已启动 
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


b252.tmp.exe 威胁名称: SONAR.SuspBeh!gen115
定位


未知
诺顿社区中使用了此文件的用户数 未知。

未知
此文件版本当前 未知。

高
此文件具有高风险。


____________________________


来源: 外部介质


____________________________

文件操作

文件: c:\users\AA\desktop\1\ b252.tmp.exe 不需要操作
目录: c:\users\AA\appdata\roaming\ 3f5987ac3 不需要操作
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\AA\desktop\1\b252.tmp.exe, PID:1104) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ svchost.exe, PID:7668 (执行者 c:\users\AA\desktop\1\b252.tmp.exe, PID:1104) 未采取操作
事件: 进程启动: c:\users\AA\desktop\1\ b252.tmp.exe, PID:1104 (执行者 c:\users\AA\desktop\1\b252.tmp.exe, PID:1104) 未采取操作
事件: PE 文件创建: c:\users\AA\appdata\roaming\3f5987ac3\ 8c8ac18a79.exe (执行者 c:\users\AA\desktop\1\b252.tmp.exe, PID:1104) 未采取操作
____________________________

可疑操作

(执行者 c:\users\AA\desktop\1\b252.tmp.exe, PID:1104) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
[/mw_shl_code]

1446547521

AVA 25.5417
GD 25.6320

*** 进程 ***

进程: 3304
文件名: b252.tmp.exe
路径: e:\迅雷下载\b252.tmp.exe

发行商：: 未知发行商
创建日期: 02/04/16 12:45:34
修改日期: 02/04/16 12:45:42

启动进程：: start.exe
发行商：: Invincea, Inc.


*** 操作 ***

程序文件被误导性命名以欺骗用户（例如：Image.jpg.exe）
程序下载了恶意软件。


*** 隔离区 ***

下列文件被转入隔离区：
E:\迅雷下载\B252.tmp.exe

下列注册表项被删除：


YGLhKmjgcrJysmJicCgnKCcoJganQicodIJiYnArJygnKCYGuWLhKgvpcnJiYnJyoCwnJyYmJwfccnJiYnJy0CgnJyYmJwd3LycnJycmBqcrGZ01ZiooGK01ZisnGZ01ZioHpy0nKCYmJwjHLycnJiYnB+coJwfnKScvJy8mBuctJycmJicHaCknBwA
规则版本： 5.0.83
OS: Windows 10.0 Service Pack 0.0 Build: 10586 - Workstation 64bit OS
DLL版本： 55982

"E:\迅雷下载\B252.tmp.exe"
MD5: 9F51A64235835B349665BEC930B7C6C5
"D:\Start.exe" /CURRENT_DIRECTORY="E:\迅雷下载" /env:=Refresh "E:\迅雷下载\B252.tmp.exe"
MD5:

扫描网页内容

地址:         http://newinnhouse.com/Acq1hl.php?d=jd79ie3b3f
状态：         访问被拒绝。


差点被加密

墨家小子

1446547521 发表于 2016-2-4 20:48
AVA 25.5417
GD 25.6320

爽不？？？？

1446547521

墨家小子 发表于 2016-2-4 20:51
爽不？？？？

吓死俺了

coolcfan

墨家小子 发表于 2016-2-4 20:45
[mw_shl_code=css,true]文件名: b252.tmp.exe
威胁名称: SONAR.SuspBeh!gen244完整路径: 不可用

开始亲自双击了啊

nick20010117

windows7爱好者 发表于 2016-2-4 20:36
果然其实样本区隐藏土豪真多

兄弟，你不会两碗热干面都吃不起了吧？

左手

2016-2-4 21:03:03    创建新进程    阻止并结束进程
进程: c:\documents and settings\administrator\桌面\b252.tmp.exe
目标: c:\windows\system32\svchost.exe
命令行: "C:\WINDOWS\system32\svchost.exe"
规则: [应用程序]* -> [子应用程序]D+_未知威胁[1]
第一个动作在XP没有报。第二个报了。

windows7爱好者

nick20010117 发表于 2016-2-4 21:03
兄弟，你不会两碗热干面都吃不起了吧？

不至于，我只是没钱买正版杀软而已