一个普通的敲竹杠，不算复杂，藏得有点深而已……

胖福

文件名: 全屏冰冻.vmp.exe
威胁名称: SONAR.Heuristic.144
完整路径: 不可用

____________________________



详细信息
极少用户信任的文件,  极新的文件,  风险 高





原始
下载自
 未知





活动
已执行的操作: 5



____________________________



在电脑上的创建时间 
2016-5-25 ( 11:46:34 )


上次使用时间 
2016-5-25 ( 11:46:34 )


启动项目 
否


已启动 
是


____________________________


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。

SONAR 主动防护监视电脑上的可疑程序活动。



____________________________



来源: 外部介质



源文件:
全屏冰冻.vmp.exe




____________________________

文件操作

文件: f:\norton样本\临时收集\ 全屏冰冻.vmp.exe 已删除
目录: c:\users\administrator\appdata\local\temp\ e_n30005 已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\临时收集\全屏冰冻.vmp.exe, PID:2096) 未采取操作
事件: PE 文件创建: c:\users\administrator\appdata\local\temp\e_n30005\ krnln.fnr (执行者 f:\norton样本\临时收集\全屏冰冻.vmp.exe, PID:2096) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ 全屏冰冻.vmp.exe, PID:2096 (执行者 f:\norton样本\临时收集\全屏冰冻.vmp.exe, PID:2096) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

lzy2010000

Eis 10

fzshot

F-Secure

qqddliu

skycai 发表于 2016-5-25 11:14
这个具体是触犯了规则中的哪个动作？
临时目录创建dll？

在临时目录创建dll不常见我默认阻止

pal家族

怎么突然来个一堆敲竹杠。。。。。好神奇

liulangzhecgr

2016/5/25 13:50:50    加载动态链接库    允许
进程: g:\download\全屏冰冻.vmp\全屏冰冻.vmp.exe
目标: c:\users\baba\appdata\local\temp\e_n30005\krnln.fnr
规则: [应用程序组]病毒测试 -> [动态链接库]*

学雷锋做人

1.作者天真以为加壳过杀软，然而只不过是过某些杀软的扫描
2.作者想以按钮的方式跳过云端的自动分析，因为火眼、哈勃之类的没有“脑子”
3.作者还特意修改了文件信息，让人误以为C语言程序...
拦截录像：http://pan.baidu.com/s/1dFFf6GL





有时候中毒不能只怪作者，也要反思自己！

左手

qqddliu 发表于 2016-5-25 10:24
操作进程：C:\Documents and Settings\Administrator\桌面\全屏冰冻.vmp.exe
触犯规则：●星火●【文件保 ...

临时目录应可放行。

zhou0197

学雷锋做人 发表于 2016-5-25 17:00
1.作者天真以为加壳过杀软，然而只不过是过某些杀软的扫描
2.作者想以按钮的方式跳过云端的自动分析，因为 ...

给力…………话说我咋觉得加了VMP壳之后，似乎更容易被报壳了……

学雷锋做人

zhou0197 发表于 2016-5-25 19:04
给力…………话说我咋觉得加了VMP壳之后，似乎更容易被报壳了……

说明是低水平杀软