送给双机党的元宵节礼物：Trojan.Rombertik

显示全部楼层 · 发表于 2016-2-22 19:43:38

aboringman 发表于 2016-2-22 19:33
把完整的记录打出来看看，我要质疑

AVA 25.5605
GD 25.6398

*** 进程 ***

进程: 4036
文件名: rombertik.exe
路径: f:\rombertik.exe

发行商：: 未知发行商
创建日期: 02/22/16 11:41:38
修改日期: 02/22/16 11:14:49

启动进程：: explorer.exe
发行商：: Microsoft Windows

*** 操作 ***

病毒扫描程序已检测出此文件是恶意程序。
程序已创建或已操作可执行文件。
程序进行了自我复制。

*** 隔离区 ***

下列文件被转入隔离区：
F:\Rombertik.exe
c:\users\administrator\appdata\roaming\rsr\yfoye.exe

下列注册表项被删除：

YHLC0HJycnJiYuBygigniGJi8HJycnJiYnAqdHJCJycmBrdycnJyYmKQKycJ23JycnJiYsAvJycnJyYGz3JycnJiYnC6coFfY8ZycoFfY8ZyYmJwjnKycI9ycnCfcnJycmJiAAA
规则版本： 5.0.83
OS: Windows 6.1 Service Pack 1.0 Build: 7601 - Workstation 32bit OS
DLL版本： 55982

"F:\Rombertik.exe"
MD5: F504EF6E9A269E354DE802872DC5E209
C:\Windows\Explorer.EXE
MD5:

所有的东西，我重启重新双击的，都在这里了，哈哈哈哈，IDP栽跟头了

显示全部楼层 · 发表于 2016-2-22 19:44:24

BFAX 发表于 2016-2-22 19:37
ESET全靠文件系统防护，关掉它就等于个空壳子

HIPS和AMS，你都看不见吗

显示全部楼层 · 发表于 2016-2-22 19:44:49

230f4 发表于 2016-2-22 19:40
关闭各种小工具和沙盘和虚拟机了吗？样本有没有什么行为？

我这边没有行为……

显示全部楼层 · 发表于 2016-2-22 19:46:46

nick20010117 发表于 2016-2-22 19:44
我这边没有行为……

看31楼。。。

显示全部楼层 · 发表于 2016-2-22 19:47:25

FSP云拉黑

显示全部楼层 · 发表于 2016-2-22 19:48:31

本帖最后由 windows7爱好者于 2016-2-22 19:52 编辑

衍生物我提取了，你们慢慢玩

另GD双击击杀衍生物，图手抖，给删了......日志如下
AVA 25.5605
GD 25.6398

*** 进程 ***

进程: 344
文件名: yfoye.exe
路径: c:\users\administrator\appdata\roaming\rsr\yfoye.exe

发行商：: 未知发行商
创建日期: 02/22/16 11:27:05
修改日期: 02/22/16 11:27:34

启动进程：: yfoye.exe
发行商：: 未知发行商

*** 操作 ***

病毒扫描程序已检测出此文件是恶意程序。
程序已在内存中被修改。

*** 隔离区 ***

下列文件被转入隔离区：
C:\Users\Administrator\AppData\Roaming\rsr\yfoye.exe
c:\programdata\sogouinput\components\picface\cloud\sgim_picface_cloud.bin
c:\programdata\sogouinput\components\picface\cloud\sgim_picface_cloud_bak.bin
c:\users\administrator\appdata\roaming\rsr\yfoye.exe

下列注册表项被删除：

YHLS8HJycnJiYnAqdHJCJycmBrdycnJyYmKQKycJnHJycnJiYnC6coFfY8ZycoFfY8ZyYmJwjnKycI9ycgAA
规则版本： 5.0.83
OS: Windows 6.1 Service Pack 1.0 Build: 7601 - Workstation 32bit OS
DLL版本： 55982

"C:\Users\Administrator\AppData\Roaming\rsr\yfoye.exe"
MD5: F504EF6E9A269E354DE802872DC5E209
"C:\Users\Administrator\AppData\Roaming\rsr\yfoye.exe"
MD5: F504EF6E9A269E354DE802872DC5E209

显示全部楼层 · 发表于 2016-2-22 19:53:59

貌似它的注入行为失败了。。。。。。而且真的没什么恶意操作，会不会搞错了。。。。。。

显示全部楼层 · 发表于 2016-2-22 19:55:20

230f4 发表于 2016-2-22 19:46
看31楼。。。

毛豆对于入库样本即使关闭监控也跑不出行为的，诶，无语

显示全部楼层 · 发表于 2016-2-22 19:55:30

文件名: rombertik.exe
威胁名称: Infostealer.Retgate.A完整路径: e:\迅雷下载\rombertik.exe

____________________________

____________________________

在电脑上的创建时间
2016/2/22 ( 19:54:43 )

上次使用时间
2016/2/22 ( 19:55:11 )

启动项目
否

已启动
否

威胁类型: 病毒。将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________

rombertik.exe 威胁名称: Infostealer.Retgate.A
定位

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

发布已久的文件
该文件已在 9 个月前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
rombertik.exe

____________________________

文件操作

受感染文件: e:\迅雷下载\ rombertik.exe 已删除
____________________________

文件指纹 - SHA:
77bacb44132eba894ff4cb9c8aa50c3e9c6a26a08f93168f65c48571fdf48e2a
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2016-2-22 19:58:10

aboringman 发表于 2016-2-22 19:53
貌似它的注入行为失败了。。。。。。而且真的没什么恶意操作，会不会搞错了。。。。。。

IDP过了就过了，以后记得别随便说别人主房是小孩子就好了

元宵节快乐

[病毒样本] 送给双机党的元宵节礼物：Trojan.Rombertik

本帖子中包含更多资源

评分

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源