厉害木马

显示全部楼层 · 发表于 2016-3-14 22:20:36

saga3721 发表于 2016-3-14 18:51
没有面貌一新的变化，云查杀力度加大了吧，精简实用就是红伞的标志

果然还是一如既往的丑

显示全部楼层 · 发表于 2016-3-15 01:30:55

马马屠万物杀

显示全部楼层 · 发表于 2016-3-15 07:50:16

sophos杀

显示全部楼层 · 发表于 2016-3-15 09:31:28

微软 miss

显示全部楼层 · 发表于 2016-3-15 12:14:18

本帖最后由 C-FBI-QM 于 2016-3-15 12:16 编辑

应该是个远控马
加了VMP
在roaming下生成两个文件
不过在那个压缩包里都有
只不过有隐藏属性
exe会连接一个广东的IP
然后那个文件夹里出现了一个reg
但是有点乱
并没有看懂是个啥

显示全部楼层 · 发表于 2016-3-15 12:53:25

ESET过

显示全部楼层 · 发表于 2016-3-15 12:59:39

本帖最后由胖福于 2016-3-15 13:09 编辑

文件名: crossfire.exe
威胁名称: SONAR.Heuristic.142
完整路径: 不可用

____________________________

详细信息
极少用户信任的文件, 新建的文件, 风险高

原始
下载自
未知

活动
已执行的操作: 19

____________________________

在电脑上的创建时间
2016-3-15 ( 13:06:46 )

上次使用时间
2016-3-15 ( 13:06:46 )

启动项目
否

已启动
是

____________________________

极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。

新建的文件
该文件已在 7 天 8 天前发行。

高
此文件具有高风险。

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________

来源: 外部介质

源文件:
crossfire.exe

____________________________

文件操作

文件: c:\users\administrator\appdata\roaming\31205c585191ee8f274a222cbdc2b55b\ crossfire.exe 已删除
文件: f:\norton样本\临时收集\地图坐标\ picture.com 已删除
文件: c:\users\administrator\appdata\roaming\31205c585191ee8f274a222cbdc2b55b\ release.dll 已删除
文件: c:\users\administrator\appdata\roaming\microsoft\windows\start menu\programs\startup\ 31205c585191ee8f274a222cbdc2b55b.lnk 已删除
目录: c:\users\administrator\appdata\roaming\ 31205c585191ee8f274a222cbdc2b55b 已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500_CLASSES\Local Settings\MuiCache\82\ AAF68885->LanguageList:... 已修复
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Common Client\ccIPC\ Endpoints 不需要操作
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Common Client\ccIPC\ Endpoints->{62BE4ACA-72AF-4E89-8A46-7C0F46A3D819} 不需要操作
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Norton\{0C55C096-0F1D-4F28-AAA2-85EF591126E7}\Common Client\ccIPC\ Endpoints 需要重新启动
____________________________

网络操作

事件: 网络活动 (执行者 c:\users\administrator\appdata\roaming\31205c585191ee8f274a222cbdc2b55b\crossfire.exe, PID:1864) 未采取操作
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\administrator\appdata\roaming\31205c585191ee8f274a222cbdc2b55b\crossfire.exe, PID:1864) 未采取操作
(执行者 c:\users\administrator\appdata\roaming\31205c585191ee8f274a222cbdc2b55b\crossfire.exe, PID:1864) 未采取操作
事件: 进程启动: c:\users\administrator\appdata\roaming\31205c585191ee8f274a222cbdc2b55b\ crossfire.exe, PID:1864 (执行者 c:\users\administrator\appdata\roaming\31205c585191ee8f274a222cbdc2b55b\crossfire.exe, PID:1864) 未采取操作
事件: 进程启动 (执行者 f:\norton样本\临时收集\地图坐标\picture.com, PID:2896) 未采取操作
事件: PE 文件创建: c:\users\administrator\appdata\roaming\31205c585191ee8f274a222cbdc2b55b\ crossfire.exe (执行者 f:\norton样本\临时收集\地图坐标\picture.com, PID:2896) 未采取操作
(执行者 f:\norton样本\临时收集\地图坐标\picture.com, PID:2896) 未采取操作
事件: 进程启动: c:\users\administrator\appdata\roaming\31205c585191ee8f274a222cbdc2b55b\ crossfire.exe, PID:1864 (执行者 f:\norton样本\临时收集\地图坐标\picture.com, PID:2896) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\地图坐标\ picture.com, PID:2896 (执行者 f:\norton样本\临时收集\地图坐标\picture.com, PID:2896) 未采取操作
____________________________

可疑操作

事件: 击键捕获 (执行者 c:\users\administrator\appdata\roaming\31205c585191ee8f274a222cbdc2b55b\crossfire.exe, PID:1864) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2016-3-15 14:26:08

显示全部楼层 · 发表于 2016-3-15 15:42:47

本帖最后由 aboringman 于 2016-3-15 15:45 编辑

错误回复，编辑掉。

显示全部楼层 · 发表于 2016-3-15 19:09:37

360杀毒的BD引擎杀，去除BD，其它引擎不杀

高危风险项
----------------------
C:\Documents and Settings\Administrator\桌面\马\今天价表备份.exe Gen:Variant.Graftor.232526 已删除

[病毒样本] 厉害木马

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块