瑞星新引擎报的Malware

ymb668888

T.Yoshiyuki 发表于 2016-6-6 10:47
SEP本地不搞信誉杀~所以啥都没检出来~不敢双击

你这SEP是日版的？？？

T.Yoshiyuki

ymb668888 发表于 2016-6-6 12:26
你这SEP是日版的？？？

少见多怪 日文系统自然配日文软件咯~
现在SEP下载大法好像失效了 还好当时下了个日文版~

ymb668888

T.Yoshiyuki 发表于 2016-6-6 12:36
少见多怪 日文系统自然配日文软件咯~
现在SEP下载大法好像失效了 还好当时下了个日文版~

好吧，不知道你的是日文系统。。。。。

T.Yoshiyuki

吓得双击病毒的我传火眼分析了一把
然而我运行时没有窗口……

不过感觉还是不太靠谱诶 请问各位大神有什么在线行为分析沙盒推荐的？

何洁铭

就目前看瑞星新引擎表现还不错。

胖福

文件名: 全能固码.exe
威胁名称: SONAR.TCP!gen4
完整路径: 不可用

____________________________



详细信息
极少用户信任的文件,  极新的文件,  风险 高





原始
下载自
 未知





活动
已执行的操作: 20



____________________________



在电脑上的创建时间 
2016-6-6 ( 13:50:39 )


上次使用时间 
2016-6-6 ( 13:50:39 )


启动项目 
否


已启动 
是


____________________________


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。

SONAR 主动防护监视电脑上的可疑程序活动。



____________________________



来源: 外部介质



____________________________

文件操作

文件: f:\norton样本\临时收集\ 全能固码.exe 已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Google\ Google Pinyin 2->ActiveTime:1465192435 已修复
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Google\ Google Pinyin 2->ActiveSkin:... 已修复
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Google\ Google Pinyin 2->TotalChooseCount:325 已修复
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Google\ Google Pinyin 2->SelectDefaultCount:254 已修复
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Google\ Google Pinyin 2->TimesOfComposition:292 已修复
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Google\ Google Pinyin 2->LengthOfComposition:768 已修复
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Google\ Google Pinyin 2->MillisecondsOfComposition:972139 已修复
注册表更改: HKEY_USERS\S-1-5-21-1429125506-3924845992-1376771031-500\Software\Google\ Google Pinyin 2->ActiveTime:1465192440 已修复
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\临时收集\全能固码.exe, PID:2672) 未采取操作
(执行者 f:\norton样本\临时收集\全能固码.exe, PID:2672) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ 全能固码.exe, PID:2672 (执行者 f:\norton样本\临时收集\全能固码.exe, PID:2672) 未采取操作
事件: 进程启动 (执行者 f:\norton样本\临时收集\全能固码.exe, PID:1780) 未采取操作
(执行者 f:\norton样本\临时收集\全能固码.exe, PID:1780) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ 全能固码.exe, PID:1780 (执行者 f:\norton样本\临时收集\全能固码.exe, PID:1780) 未采取操作
事件: 进程启动 (执行者 f:\norton样本\临时收集\全能固码.exe, PID:4772) 未采取操作
事件: 进程启动: f:\norton样本\临时收集\ 全能固码.exe, PID:4772 (执行者 f:\norton样本\临时收集\全能固码.exe, PID:4772) 未采取操作
____________________________

可疑操作

(执行者 f:\norton样本\临时收集\全能固码.exe, PID:2672) 未采取操作
事件: 击键捕获 (执行者 f:\norton样本\临时收集\全能固码.exe, PID:2672) 未采取操作
(执行者 f:\norton样本\临时收集\全能固码.exe, PID:1780) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

woainigaopeng

rising新引擎，也是个小惊喜吧。不错

驭龙

T.Yoshiyuki 发表于 2016-6-6 12:36
少见多怪 日文系统自然配日文软件咯~
现在SEP下载大法好像失效了 还好当时下了个日文版~

SEP之所以没有报，是因为楼上的诺顿是Reputation报法，由于SEP不支持压缩包下载分析，所以你那里没有报

T.Yoshiyuki

驭龙 发表于 2016-6-6 15:44
SEP之所以没有报，是因为楼上的诺顿是Reputation报法，由于SEP不支持压缩包下载分析，所以你那里没有报

是我忘了解释 不过你应该从我的截图中能看出来
我测试SEP 的下载智能分析 都是将文件解压、上传到自己百度云后
用ie浏览器自带下载工具来下载的~

驭龙

T.Yoshiyuki 发表于 2016-6-6 18:36
是我忘了解释 不过你应该从我的截图中能看出来
我测试SEP 的下载智能分析 都是将文件解压、上传到 ...

其实我没有看下半部分

不过说实话，这真心累，现在下载文件大多数是压缩包，要是你这样测，太辛苦了