收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 这是什么病毒???
123下一页
返回列表 发新帖
查看: 3660|回复: 20
收起左侧

[可疑文件] 这是什么病毒???

[复制链接]
也就是这样
发表于 2016-3-16 17:02:14 | 显示全部楼层 |阅读模式
有哪些行为???

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

lzy2010000
发表于 2016-3-16 17:04:10 | 显示全部楼层
文件名: 复件 阿里旺旺买家版@899_348.exe
威胁名称: Trojan.Gen.2完整路径: c:\users\desktop\复件 阿里旺旺买家版@899_348\复件 阿里旺旺买家版@899_348.exe

____________________________

____________________________


在电脑上的创建时间 
2016/3/16 ( 17:03:02 )

上次使用时间 
2016/3/16 ( 17:03:02 )

启动项目 


已启动 


威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________


复件 阿里旺旺买家版@899_348.exe 威胁名称: Trojan.Gen.2
定位


少量用户信任的文件
诺顿社区中有 不到 100 名用户使用了此文件。

新建的文件
该文件已在 20 天 前发行。


此文件具有高风险。


____________________________


来源: 外部介质


____________________________

文件操作

文件: c:\users\desktop\复件 阿里旺旺买家版@899_348\ 复件 阿里旺旺买家版@899_348.exe 已阻止
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
回复

举报

学雷锋做人
头像被屏蔽
发表于 2016-3-16 17:11:13 | 显示全部楼层
本帖最后由 学雷锋做人 于 2016-3-16 17:16 编辑


断网情况下跑的行为,第X号表示代码执行顺序,但是我将文件类和注册表类的操作做一个分类整合,所以看上去并不顺,如果要找执行顺序,就按序号找吧!
[mw_shl_code=css,true][文件操作]
第1号 操作行为=试图创建新文件
第1号 文件路径=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsw5.tmp\nsc6.tmp
第1号 您选择=允许
第9号 操作行为=试图删除文件
第9号 文件路径=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsw5.tmp\nsc6.tmp
第9号 您选择=允许
第10号 操作行为=试图创建新文件
第10号 文件路径=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsw5.tmp\inetc.dll
第10号 您选择=允许
第11号 操作行为=试图创建新文件
第11号 文件路径=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsw5.tmp\nsc6.tmp
第11号 您选择=允许
第15号 操作行为=试图删除文件
第15号 文件路径=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsw5.tmp\nsc6.tmp
第15号 您选择=允许
第16号 操作行为=试图创建新文件
第16号 文件路径=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsw5.tmp\inetc.dll
第16号 您选择=允许
第17号 操作行为=试图创建新文件
第17号 文件路径=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsw5.tmp\nsc6.tmp
第17号 您选择=允许
第21号 操作行为=试图删除文件
第21号 文件路径=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsw5.tmp\nsc6.tmp
第21号 您选择=允许
第22号 操作行为=试图创建新文件
第22号 文件路径=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsw5.tmp\inetc.dll
第22号 您选择=允许
第23号 操作行为=试图创建新文件
第23号 文件路径=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsw5.tmp\nsc6.tmp
第23号 您选择=允许
第27号 操作行为=试图删除文件
第27号 文件路径=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsw5.tmp\nsc6.tmp
第27号 您选择=允许
第28号 操作行为=试图创建新文件
第28号 文件路径=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsw5.tmp\inetc.dll
第28号 您选择=允许
第29号 操作行为=试图创建新文件
第29号 文件路径=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsw5.tmp\nsc6.tmp
第29号 您选择=允许
第33号 操作行为=试图删除文件
第33号 文件路径=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsw5.tmp\nsc6.tmp
第33号 您选择=允许
第34号 操作行为=试图修改文件属性
第34号 文件路径=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsw5.tmp\inetc.dll
第34号 您选择=允许
第35号 操作行为=试图删除文件
第35号 文件路径=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsw5.tmp\inetc.dll
第35号 您选择=允许
第36号 操作行为=试图修改文件属性
第36号 文件路径=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsw5.tmp\lxdl.dll
第36号 您选择=允许
第37号 操作行为=试图删除文件
第37号 文件路径=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsw5.tmp\lxdl.dll
第37号 您选择=允许
第38号 操作行为=试图修改文件属性
第38号 文件路径=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsw5.tmp\sockdl.dll
第38号 您选择=允许
第39号 操作行为=试图删除文件
第39号 文件路径=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsw5.tmp\sockdl.dll
第39号 您选择=允许
第40号 操作行为=试图修改文件属性
第40号 文件路径=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsw5.tmp\
第40号 您选择=允许
第41号 操作行为=试图删除文件目录
第41号 文本目录=C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsw5.tmp\
第41号 您选择=允许
[注册表操作]
第2号 操作行为=试图创建注册表键
第2号 创建位置=HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing
第2号 您选择=阻止
第3号 操作行为=试图创建注册表键
第3号 创建位置=HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing
第3号 您选择=阻止
第4号 操作行为=试图创建注册表键
第4号 创建位置=480\Software\Microsoft\windows\CurrentVersion\Internet Settings
第4号 您选择=阻止
第5号 操作行为=试图创建注册表键
第5号 创建位置=480\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections
第5号 您选择=阻止
第6号 操作行为=试图创建注册表键
第6号 创建位置=480\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections
第6号 您选择=阻止
第7号 操作行为=试图创建注册表键
第7号 创建位置=HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing
第7号 您选择=阻止
第8号 操作行为=试图创建注册表键
第8号 创建位置=480\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections
第8号 您选择=阻止
第12号 操作行为=试图创建注册表键
第12号 创建位置=HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing
第12号 您选择=阻止
第13号 操作行为=试图创建注册表键
第13号 创建位置=480\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections
第13号 您选择=阻止
第14号 操作行为=试图创建注册表键
第14号 创建位置=480\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections
第14号 您选择=阻止
第18号 操作行为=试图创建注册表键
第18号 创建位置=HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing
第18号 您选择=阻止
第19号 操作行为=试图创建注册表键
第19号 创建位置=480\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections
第19号 您选择=阻止
第20号 操作行为=试图创建注册表键
第20号 创建位置=480\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections
第20号 您选择=阻止
第24号 操作行为=试图创建注册表键
第24号 创建位置=HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing
第24号 您选择=阻止
第25号 操作行为=试图创建注册表键
第25号 创建位置=480\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections
第25号 您选择=阻止
第26号 操作行为=试图创建注册表键
第26号 创建位置=480\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections
第26号 您选择=阻止
第30号 操作行为=试图创建注册表键
第30号 创建位置=HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing
第30号 您选择=阻止
第31号 操作行为=试图创建注册表键
第31号 创建位置=480\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections
第31号 您选择=阻止
第32号 操作行为=试图创建注册表键
第32号 创建位置=480\Software\Microsoft\windows\CurrentVersion\Internet Settings\Connections
第32号 您选择=阻止[/mw_shl_code]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

轩夏
发表于 2016-3-16 17:11:35 | 显示全部楼层
微软
miss

红伞
TR/Taranis.2497

蜘蛛
Trojan.Winlock.12717

avg
untrusted certificate

护士
Xiazai

妖刀
Trojan.Taranis

BD
Trojan.GenericKD.3089951
回复

举报

也就是这样
 楼主| 发表于 2016-3-16 17:26:24 | 显示全部楼层

RE: 这是什么病毒???

学雷锋做人 发表于 2016-3-16 17:11
断网情况下跑的行为,第X号表示代码执行顺序,但是我将文件类和注册表类的操作做一个分类整合,所以看上 ...

远控?还是感染?
回复

举报

275751198
发表于 2016-3-16 17:27:48 | 显示全部楼层
报告楼主,这是很常见的下载站推广 程序  只要在安装的时候去掉默认的勾选就很正常
运行之后记得要取消默认的勾选,否则那些小图标代表的软件就要被安装到你的电脑上了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

也就是这样
 楼主| 发表于 2016-3-16 17:31:13 | 显示全部楼层

RE: 这是什么病毒???

学雷锋做人 发表于 2016-3-16 17:11
断网情况下跑的行为,第X号表示代码执行顺序,但是我将文件类和注册表类的操作做一个分类整合,所以看上 ...

远控?还是感染?
回复

举报

学雷锋做人
头像被屏蔽
发表于 2016-3-16 17:43:03 | 显示全部楼层
也就是这样 发表于 2016-3-16 17:31
远控?还是感染?

我是断网下测的,这个还不清楚,不过6楼已经给出答案了
回复

举报

也就是这样
 楼主| 发表于 2016-3-16 17:52:47 | 显示全部楼层

RE: 这是什么病毒???

275751198 发表于 2016-3-16 17:27
报告楼主,这是很常见的下载站推广 程序  只要在安装的时候去掉默认的勾选就很正常
运行之后记得要取消默 ...

没毒?
回复

举报

daisy_wsm
发表于 2016-3-16 17:53:49 | 显示全部楼层

在VirusBook上查的结果如下:
Avast Other:Malware-gen 2016-03-16
AVG  Virus found JS/Downloader.Agent 2016-03-16
GDATA  Script.Trojan.Agent.T4YLAU 2016-03-16
Sophos JS/DwnLdr-NGQ 2016-03-16
小红伞(Avira)  HTML/ExpKit.Gen6

链接:https://www.virusbook.cn/report/scan/ae148be511afa23a976458782b925dbeb4025a927756601ef22afdf5579c92bc-1458121623252


文件识别
文件类型 ASCII text, with very long lines, with CRLF line terminators
文件大小 4740 字节
MD5 07726249ee7768a479958e47459ac8df
SHA1 5a74cc2fc915a6e854e4106f4d8d07cc61c95910
SHA256 ae148be511afa23a976458782b925dbeb4025a927756601ef22afdf5579c92bc
SHA512 64893755c5a53657da180677ce76bb0393e28fb5a92758d6957ba56d70f172475606a249f5e952d1eb9d231ecc3afda2eac8dc2bf4700c4c893fc98195cf7537
ssdeep 96:sSRTb/+RcNkojwMA2f/3NGsO93eQR+vquQuU+Y4Dii46QqLsbT:sSRTb/rkojwMd/3LO9ZtulUpiudqLmT
imphash DOS Header magic not found
回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-16 02:49 , Processed in 0.125742 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表