新型流氓软件

胖福

请叫我德玛西亚 发表于 2016-3-17 21:59
那也是   那几个杀软老大也拦不了     
sep  妥妥的过  不知道2l那个万物杀会不会拦（关闭下载分 ...

文件名: mokokilbchleiihd.exe
威胁名称: SONAR.Heuristic.142
完整路径: 不可用

____________________________



详细信息
极少用户信任的文件,  极新的文件,  风险 高





原始
下载自
 未知





活动
已执行的操作: 5



____________________________



在电脑上的创建时间 
2016-3-18 ( 08:45:23 )


上次使用时间 
2016-3-18 ( 08:45:23 )


启动项目 
否


已启动 
是


____________________________


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。

SONAR 主动防护监视电脑上的可疑程序活动。



____________________________



来源: 外部介质



源文件:
mokokilbchleiihd.exe




____________________________

文件操作

文件: f:\norton样本\临时收集\ mokokilbchleiihd.exe 已删除
目录: c:\users\administrator\appdata\local\temp\ nsw562b.tmp 已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\临时收集\mokokilbchleiihd.exe, PID:3164) 未采取操作
事件: PE 文件创建: c:\users\administrator\appdata\local\temp\nsw562b.tmp\ system.dll (执行者 f:\norton样本\临时收集\mokokilbchleiihd.exe, PID:3164) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ mokokilbchleiihd.exe, PID:3164 (执行者 f:\norton样本\临时收集\mokokilbchleiihd.exe, PID:3164) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

yuzhi3366853

3801187 发表于 2016-3-17 20:19
双引擎自带BD引擎

不是没中文么？带BD引擎的不是收费的么？

3801187

yuzhi3366853 发表于 2016-3-18 11:12
不是没中文么？带BD引擎的不是收费的么？

已经修改为100000天

yuzhi3366853

3801187 发表于 2016-3-18 11:16
已经修改为100000天

还有PJ的啊？

3801187

yuzhi3366853 发表于 2016-3-18 11:17
还有PJ的啊？

看不懂啥意思

傻傻的杰宝

MXCERILYF! 发表于 2016-3-18 01:12
瑞星扫描miss

双击呢

AnonymousM

就是跟下饺子一样一个个安装
[mw_shl_code=css,true]2016/3/18 15:05:03,C:\Windows\explorer.exe,53,Allowed ;执行应用程序 ("C:\Users\as98e4f\Desktop\mokokilbchleiihd.exe" )
2016/3/18 15:05:06,C:\Users\as98e4f\Desktop\mokokilbchleiihd.exe,50,Allowed ;使用 DNS 解析服务访问网络
2016/3/18 15:05:07,C:\Users\as98e4f\Desktop\mokokilbchleiihd.exe,48,Allowed ;出站网络访问
2016/3/18 15:05:15,C:\Users\as98e4f\Desktop\mokokilbchleiihd.exe,53,Blocked ;执行应用程序 (V8._85416_20150820204011.exe)

2016/3/18 15:05:20,C:\Users\as98e4f\Desktop\mokokilbchleiihd.exe,53,Blocked ;执行应用程序 (1332280.exe)
2016/3/18 15:05:28,C:\Users\as98e4f\Desktop\mokokilbchleiihd.exe,53,Blocked ;执行应用程序 (kinst_168_32.exe)
2016/3/18 15:05:33,C:\Users\as98e4f\Desktop\mokokilbchleiihd.exe,53,Blocked ;执行应用程序 (qt_mvc.exe)
2016/3/18 15:05:38,C:\Users\as98e4f\Desktop\mokokilbchleiihd.exe,49,Allowed ;使用动态数据交换控制另一个程序
2016/3/18 15:05:43,C:\Users\as98e4f\Desktop\mokokilbchleiihd.exe,53,Allowed ;执行应用程序 ("C:\Program Files\Internet Explorer\iexplore.exe" -nohome)

2016/3/18 15:05:47,C:\Program Files\Internet Explorer\iexplore.exe,26,Allowed ;修改受保护的注册表键 (HKCU\Software\Microsoft\Internet Explorer\Main,CompatibilityFlags)
2016/3/18 15:05:49,C:\Program Files\Internet Explorer\iexplore.exe,50,Allowed ;使用 DNS 解析服务访问网络
2016/3/18 15:05:52,C:\Program Files\Internet Explorer\iexplore.exe,49,Allowed ;使用动态数据交换控制另一个程序
2016/3/18 15:05:56,C:\Program Files\Internet Explorer\iexplore.exe,53,Allowed ;执行应用程序 ("C:\Program Files\Internet Explorer\iexplore.exe" SCODEF:2852 CREDAT:14337)

2016/3/18 15:06:11,C:\Users\as98e4f\Desktop\mokokilbchleiihd.exe,53,Blocked ;执行应用程序 (kuwo_jm613.exe)

2016/3/18 15:06:21,C:\Users\as98e4f\Desktop\mokokilbchleiihd.exe,53,Blocked ;执行应用程序 (install1078565.exe)

2016/3/18 15:06:54,C:\Users\as98e4f\Desktop\mokokilbchleiihd.exe,53,Blocked ;执行应用程序 (XMPSetupLite-Sljhaqws56.exe /S)

2016/3/18 15:07:31,C:\Users\as98e4f\Desktop\mokokilbchleiihd.exe,53,Blocked ;执行应用程序 (Baidu_Setup_2.2.200.1470_ftn_1050121264.exe)
2016/3/18 15:08:24,C:\Users\as98e4f\Desktop\mokokilbchleiihd.exe,53,Blocked ;执行应用程序 (SoHuVA_4.5.77.0-c207715-nti-ng-tp-s.exe)
2016/3/18 15:08:34,C:\Users\as98e4f\Desktop\mokokilbchleiihd.exe,26,Blocked ;修改受保护的注册表键 (HKLM\SYSTEM\ControlSet001\Control\Session Manager,PendingFileRenameOperations)
2016/3/18 15:08:41,C:\Users\as98e4f\Desktop\mokokilbchleiihd.exe,41,Allowed ;修改受保护的文件 (C:\Windows\wininit.ini)[/mw_shl_code]

275751198

360入库

Mido1982

趋势2016 禁运
话说 趋势的云 还真不是盖的

轩夏

护士
BearPC