自用电脑抓到的木马

→龍少爺→

自己用的电脑开启了远程桌面功能，没几天发现登陆密码被破，被人登陆过，在C盘目录下多了两个文件，电脑装的360国际版，全程没有报毒。
在将文件上报后才可以查杀这两个文件。 猜测下载的文件是远控类。附上病毒样本。






。

connelly

文件名: dadada.exe
威胁名称: Suspicious.Cloud.AM完整路径: c:\users\\downloads\outlook\dadada.exe

____________________________

____________________________


在电脑上 
2016/5/29 ( 19:44:53 )

上次使用时间 
2016/5/29 ( 19:46:53 )

启动项 
否

已启动 
否

威胁类型: 启发式病毒。 根据恶意软件启发式技术检测威胁。

____________________________


dadada.exe 威胁名称: Suspicious.Cloud.AM
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
dadada.exe

____________________________

文件操作

文件: c:\users\\downloads\outlook\ dadada.exe 已删除
____________________________


文件指纹 - SHA:
b135e54d53b1b9d4c5ab367a81f061c8a0779ef5a0f6e611db472e3fa86906bc
文件指纹 - MD5:
不可用

沧桑浪子

360云QVM07.1

→龍少爺→

貌似360只杀附件里的 exe 文件，对 dll 文件予以放行了，但我觉得 dll 文件才是关键吧

z2009

过eis和金山毒霸扫描

沙盘运行，鼠标一直圈圈转呀转呀，都没提示

Luca.l

2221000789

qqddliu

操作进程：C:\Documents and Settings\Administrator\桌面\dadada.exe
触犯规则：●星火●【注册表保护询问规则】驱动及服务保护
操作类型：创建
操作注册表：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
用户操作：已阻止
操作进程：C:\WINDOWS\system32\svchost.exe
触犯规则：●星火●【应用程序保护询问规则】系统禁区
操作类型：写入
操作文件：C:\WINDOWS\Prefetch\DADADA.EXE-35229842.pf
用户操作：已阻止

胖福

文件名: dadada.exe
威胁名称: SONAR.Heuristic.144
完整路径: 不可用

____________________________



详细信息
极少用户信任的文件,  极新的文件,  风险 高





原始
下载自
 未知





活动
已执行的操作: 42



____________________________



在电脑上的创建时间 
2016-5-30 ( 08:08:00 )


上次使用时间 
2016-5-30 ( 08:08:00 )


启动项目 
否


已启动 
是


____________________________


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。

SONAR 主动防护监视电脑上的可疑程序活动。



____________________________



来源: 外部介质



源文件:
dadada.exe




____________________________

文件操作

文件: c:\program files\outlook\ dadada.exe 已删除
文件: f:\norton样本\临时收集\ dadada.exe 已删除
文件: c:\program files\outlook\ netsyst96.dll 已删除
文件: c:\users\administrator\appdata\local\microsoft\windows\temporary internet files\content.ie5\r3j2c2ao\ netsyst96[1].dll 已删除
目录: c:\program files\ outlook 已删除
____________________________

注册表操作

注册表更改: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\ Wshwtw nnduwxrb->ConnectGroup 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\ Wshwtw nnduwxrb->Description:Pgsror iixprsmwfoamylgktb 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\ Wshwtw nnduwxrb->MarkTime 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\ dadada_RASAPI32 已删除
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ dadada_RASAPI32->EnableFileTracing 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ dadada_RASAPI32->EnableConsoleTracing 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ dadada_RASAPI32->FileTracingMask 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ dadada_RASAPI32->ConsoleTracingMask 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ dadada_RASAPI32->MaxFileSize 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ dadada_RASAPI32->FileDirectory 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing\ dadada_RASMANCS 已删除
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ dadada_RASMANCS->EnableFileTracing 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ dadada_RASMANCS->EnableConsoleTracing 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ dadada_RASMANCS->FileTracingMask 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ dadada_RASMANCS->ConsoleTracingMask 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ dadada_RASMANCS->MaxFileSize 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Tracing\ dadada_RASMANCS->FileDirectory 不需要操作
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Microsoft\Windows\CurrentVersion\ Internet Settings->ProxyEnable:0 已修复
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ Connections->SavedLegacySettings:... 已修复
注册表更改: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ Wshwtw nnduwxrb 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\ Wshwtw nnduwxrb 不需要操作
注册表更改: HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\services\ Wshwtw nnduwxrb->DeleteFiles 不需要操作
____________________________

网络操作

事件: 网络活动 (执行者 f:\norton样本\临时收集\dadada.exe, PID:3872) 未采取操作
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\program files\outlook\dadada.exe, PID:4000) 未采取操作
事件: 进程启动 (执行者 c:\program files\outlook\dadada.exe, PID:640) 未采取操作
事件: 进程启动: c:\program files\outlook\ dadada.exe, PID:4000 (执行者 c:\program files\outlook\dadada.exe, PID:4000) 未采取操作
事件: 进程启动: c:\program files\outlook\ dadada.exe, PID:4052 (执行者 c:\program files\outlook\dadada.exe, PID:640) 未采取操作
事件: 进程启动 (执行者 c:\program files\outlook\dadada.exe, PID:4052) 未采取操作
事件: 进程启动: c:\program files\outlook\ dadada.exe, PID:640 (执行者 c:\program files\outlook\dadada.exe, PID:640) 未采取操作
事件: 进程启动: c:\program files\outlook\ dadada.exe, PID:4052 (执行者 c:\program files\outlook\dadada.exe, PID:4052) 未采取操作
事件: 进程启动 (执行者 f:\norton样本\临时收集\dadada.exe, PID:3872) 未采取操作
(执行者 f:\norton样本\临时收集\dadada.exe, PID:3872) 未采取操作
事件: PE 文件创建: c:\program files\outlook\ dadada.exe (执行者 f:\norton样本\临时收集\dadada.exe, PID:3872) 未采取操作
事件: 进程启动: c:\program files\outlook\ dadada.exe, PID:4000 (执行者 f:\norton样本\临时收集\dadada.exe, PID:3872) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ dadada.exe, PID:3872 (执行者 f:\norton样本\临时收集\dadada.exe, PID:3872) 未采取操作
____________________________

可疑操作

(执行者 c:\program files\outlook\dadada.exe, PID:4000) 未采取操作
(执行者 f:\norton样本\临时收集\dadada.exe, PID:3872) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

阿里小白帽