一枚高质量样本

qqddliu

【1】2016-06-14 17:20:12,系统防护,自定义防护,schach.exe触犯 , 已阻止

操作进程：C:\Documents and Settings\Administrator\桌面\schach.exe
触犯规则：●星火●【应用程序保护】〖风险程序〗
操作类型：执行
C:\WINDOWS\system32\cmd.exe
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【2】2016-06-14 17:20:09,系统防护,自定义防护,schach.exe触犯自定义文件防护规则, 已阻止

操作进程：C:\Documents and Settings\Administrator\桌面\schach.exe
触犯规则：●星火●【文件保护】〖常用目录〗 通常存放一些应用程序所需的数据文件。允许创建除可执行文件之外的其他所有文件。
操作类型：创建
操作文件：C:\Documents and Settings\Administrator\Application Data\{22C73721-3A20-34F0-011D-F3EF896C9B67}
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【3】2016-06-14 17:20:09,系统防护,自定义防护,schach.exe触犯 , 已阻止

操作进程：C:\Documents and Settings\Administrator\桌面\schach.exe
触犯规则：●星火●【应用程序保〖黑名单〗命令行窗口，许多病毒的破坏功能都要调用此程序,允Explorer.exe调用。使用通配符是为了防止
操作类型：执行
C:\WINDOWS\system32\cmd.exe
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【4】2016-06-14 17:19:55,系统防护,自定义防护,schach.exe触犯自定义注册表防护规则, 已阻止

操作进程：C:\Documents and Settings\Administrator\桌面\schach.exe
触犯规则：●星火●【注册表保护】〖自启动〗防止病毒利用屏保实现自启动
操作类型：写入
操作注册表：HKEY_CURRENT_USER\Control Panel\Desktop\SCRNSAVE.EXE
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【5】2016-06-14 17:19:51,系统防护,自定义防护,schach.exe触犯自定义注册表防护规则, 已阻止

操作进程：C:\Documents and Settings\Administrator\桌面\schach.exe
触犯规则：●星火●【注册表保护】〖自启动〗可以设置随命令行窗口的启动而自启动
操作类型：创建
操作注册表：HKEY_CURRENT_USER\Software\Microsoft\Command Processor
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【6】2016-06-14 17:19:46,系统防护,自定义防护,schach.exe触犯自定义注册表防护规则, 已阻止

操作进程：C:\Documents and Settings\Administrator\桌面\schach.exe
触犯规则：●星火●【注册表保护】〖其他相关〗系统辅助功能设置
操作类型：创建
操作注册表：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

【7】2016-06-14 17:19:40,系统防护,自定义防护,schach.exe触犯自定义注册表防护规则, 已阻止

操作进程：C:\Documents and Settings\Administrator\桌面\schach.exe
触犯规则：●星火●【注册表保护】〖自启动〗常规启动项
操作类型：创建
操作注册表：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
用户操作：已阻止

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

liulangzhecgr

2016/6/14 17:27:12    创建注册表项    允许
进程: g:\download\schach\schach.exe
目标: HKEY_CURRENT_USER\Printers\Defaults\{F009E530-4E50-1F5D-E00B-DAB4DE6555C9}
规则: [应用程序组]病毒测试 -> [注册表]*

2016/6/14 17:33:36    创建新进程    允许
进程: g:\download\schach\schach.exe
目标: c:\windows\system32\cmd.exe
命令行: /d /c taskkill /t /f /im "schach.exe" > NUL & ping -n 1 127.0.0.1 > NUL & del "G:\Download\schach\schach.exe" > NUL
规则: [应用程序组]病毒测试 -> [子应用程序]*

2016/6/14 17:33:55    创建新进程    允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\taskkill.exe
命令行: taskkill  /t /f /im "schach.exe"  
规则: [应用程序]*

2016/6/14 17:36:52    创建新进程    允许
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\presentationsettings.exe
目标: c:\windows\system32\vssadmin.exe
命令行: "C:\Windows\system32\vssadmin.exe" delete shadows /all /quiet
规则: [应用程序组]病毒测试 -> [子应用程序]*

2016/6/14 17:39:05    创建新进程    允许
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\presentationsettings.exe
目标: c:\windows\system32\wbem\wmic.exe
命令行: "C:\Windows\system32\wbem\wmic.exe" shadowcopy delete
规则: [应用程序组]病毒测试 -> [子应用程序]*

2016/6/14 17:40:17    访问COM接口    允许
进程: c:\windows\system32\wbem\wmiprvse.exe
目标: {E579AB5F-1CC4-44B4-BED9-DE0991FF0623} VSS.VSSCoordinator.1
规则: [应用程序]*

2016/6/14 17:40:34    创建新进程    允许
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\presentationsettings.exe
目标: c:\windows\system32\bcdedit.exe
命令行: "C:\Windows\System32\bcdedit.exe" /set {default} recoveryenabled no
规则: [应用程序组]病毒测试 -> [子应用程序]*

2016/6/14 17:40:49    创建新进程    允许
进程: c:\users\baba\appdata\roaming\{42676058-b5b5-cd60-f3e1-0cdfd14dcfd6}\presentationsettings.exe
目标: c:\windows\system32\bcdedit.exe
命令行: "C:\Windows\System32\bcdedit.exe" /set {default} bootstatuspolicy ignoreallfailures
规则: [应用程序组]病毒测试 -> [子应用程序]*

ymb668888

文件名: schach.exe
威胁名称: WS.Reputation.1完整路径: d:\新建文件夹\downloads\测试\schach.exe

____________________________

____________________________


在电脑上 
2016/6/14 ( 19:04:26 )

上次使用时间 
2016/6/14 ( 19:05:52 )

启动项 
否

已启动 
否

威胁类型: 智能网络威胁。 很多迹象表明此文件不可信任，不安全

____________________________


schach.exe 威胁名称: WS.Reputation.1
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

中
此文件具有中等程度风险。


____________________________


来源: 外部介质

源文件:
winrar.exe

创建的文件:
schach.exe

____________________________

文件操作

文件: d:\新建文件夹\downloads\测试\ schach.exe 已删除
____________________________


文件指纹 - SHA:
2f4655576b04bfecf8065bdc3a3c50e7002d29a0e4061d5734aadb13d59457b7
文件指纹 - MD5:
不可用

沧桑浪子

学雷锋做人 发表于 2016-6-14 16:57
引擎查杀方式不一样，这么说你会有点懵，但这就是现实！

(HEUR/QVM20.1.CB96.Malware.Gen)
云特征引擎，不过，如果是那种360安全卫士扫描的出，360杀毒扫描不出病毒，云防护能拦截的，关闭了本地QVM再双击，可能依然会运行，虽然云QVM之云特征引擎报毒。还有一种是报风险程序的云启发引擎，可能是云端的比特梵德引擎！

追影子的十三

小a干掉

心痛的伤不起

fs dg云杀

z2009

过eis扫描
运行，杀

275751198

julia跺跺 发表于 2016-6-14 16:59
谢谢   同样是360   国内杀 国际不杀。   

  

360云已经入库

lzy2010000

红伞云杀

蓝天二号

McAfee  月神