哈勃报的高度风险文件

jzh100

网上找了一个好玩的东西，结果哈勃报为高度风险文件，是不是误报，大家看下，如果是误报，大家收下玩玩。
文件：https://yunpan.cn/cSdtZJn7ChYWf  访问密码 8144
[mw_shl_code=css,true]https://habo.qq.com/file/showdetail?pk=ADcGZ11sB2MIOFs7[/mw_shl_code]

高度风险
基本信息
文件名称：       
地摊叫卖广告制作软件.rar
MD5：        a257be2ed449d7f171f7248261ad1126
文件类型：        Rar
上传时间：        2016-05-18 21:56:18
出品公司：        N/A
版本：        N/A
壳或编译器信息：        COMPILER:Elan
报毒名称：        Win32.ELangPE.Gen
子文件信息：        详情
关键行为
行为描述：        获取TickCount值
详情信息：       
TickCount = 515893, SleepMilliseconds = 50.
进程行为
行为描述：        创建本地线程
详情信息：       
TargetProcess: 地摊叫卖广告制作软件.exe, InheritedFromPID = 1944, ProcessID = 508, ThreadID = 648, StartAddress = 0130CB20, Parameter = 00000000
网络行为
行为描述：        按名称获取主机地址
详情信息：       
GetAddrInfoW: de****cn
注册表行为
行为描述：        修改注册表
详情信息：       
\REGISTRY\USER\S-*\Software\Microsoft\Multimedia\DrawDib\vga.drv 1920x973x16(565 0)
其他行为
行为描述：        创建互斥体
详情信息：       
CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
MSCTF.Shared.MUTEX.ELH
MSCTF.Shared.MUTEX.EOB
行为描述：        创建事件对象
详情信息：       
EventName = DINPUTWINMM
EventName = MSCTF.SendReceive.Event.EOB.IC
EventName = MSCTF.SendReceiveConection.Event.EOB.IC
行为描述：        查找指定窗口
详情信息：       
NtUserFindWindowEx: [Class,Window] = [,]
NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
行为描述：        获取TickCount值
详情信息：       
TickCount = 515893, SleepMilliseconds = 50.
行为描述：        窗口信息
详情信息：       
Pid = 508, Hwnd=0x10302, Text = 保存语音文件, ClassName = Button(CheckBox).
Pid = 508, Hwnd=0x102fe, Text = 已成功连接服务器, ClassName = msctls_statusbar32.
Pid = 508, Hwnd=0x302d6, Text = 合成设置, ClassName = Button(GroupBox).
Pid = 508, Hwnd=0x102fc, Text = 压缩等级, ClassName = Afx:400000:b:10011:1900015:0.
Pid = 508, Hwnd=0x102f8, Text = 7, ClassName = ComboBox.
Pid = 508, Hwnd=0x102f6, Text = 默认值, ClassName = Button.
Pid = 508, Hwnd=0x102f4, Text = 音频格式, ClassName = Afx:400000:b:10011:1900015:0.
Pid = 508, Hwnd=0x102f0, Text = audio/L16;rate=16000, ClassName = ComboBox.
Pid = 508, Hwnd=0x102ee, Text = 音频编码, ClassName = Afx:400000:b:10011:1900015:0.
Pid = 508, Hwnd=0x102ea, Text = speex, ClassName = ComboBox.
Pid = 508, Hwnd=0x102e8, Text = 背景音, ClassName = Afx:400000:b:10011:1900015:0.
Pid = 508, Hwnd=0x102e4, Text = 0, ClassName = ComboBox.
Pid = 508, Hwnd=0x102e2, Text = 文本编码, ClassName = Afx:400000:b:10011:1900015:0.
Pid = 508, Hwnd=0x102de, Text = GB2312, ClassName = ComboBox.
Pid = 508, Hwnd=0x202d2, Text = 文本类型, ClassName = Afx:400000:b:10011:1900015:0.
行为描述：        隐藏指定窗口
详情信息：       
[Window,Class] = [,ComboLBox]
[Window,Class] = [,ComboLBox ]

ymb668888

两个dll文件卡巴信任，EXE文件 卡巴kill
18.05.2016 22.18.17;检测到的对象 ( 文件 ) 已删除。;D:\新建文件夹\Downloads\地摊叫卖广告制作软件\地摊叫卖广告制作软件.exe;D:\新建文件夹\Downloads\地摊叫卖广告制作软件\地摊叫卖广告制作软件.exe;Trojan.Win32.FlyStudio.dhc;木马程序;05/18/2016 22:18:17

jzh100

ymb668888 发表于 2016-5-18 22:20
两个dll文件卡巴信任，EXE文件 卡巴kill
18.05.2016 22.18.17;检测到的对象 ( 文件 ) 已删除。;D:\ ...

我去，是木马？

ymb668888

jzh100 发表于 2016-5-18 22:23
我去，是木马？

应该是，卡巴已经入库了

jzh100

ymb668888 发表于 2016-5-18 22:34
应该是，卡巴已经入库了

但是看哈勃的行文分析，也没什么很危险的，怎么是高危呢？

欧阳宣

Artemis!9E5A3F7A2AAB

skyboybone

好压报安全

轩夏

微软 安全

轩夏

欧阳宣 发表于 2016-5-18 22:49
Artemis!9E5A3F7A2AAB

大宣宣测的是迈克菲？

仙剑问情

ESET 安全。