运行截图:
文件分析图谱(PortEx)
--------------------------------------------------------------下面是腾讯哈勃检测报告---------------------------------------------------------------------------
腾讯哈勃分析系统
http://habo.qq.com
文件检测评级:
高度风险
文件名称: 点我看图片.exe
基本信息
文件名称:
点我看图片.exe
MD5: b411c591ce52767541990585dfc460bc
文件类型: EXE
上传时间: 2017-05-30 10:49:19
出品公司: FUCK ME
版本: 1.0.0.0---1.0.0.0
壳或编译器信息: COMPILER:Elan
进程行为
行为描述:创建进程
详情信息: [0x00000704]ImagePath = C:\\WINDOWS\\system32\\rundll32.exe, CmdLine = "rundll32.exe"
C:\\WINDOWS\\system32\\shimgvw.dll,ImageView_Fullscreen C:\\Documents and
Settings\\Administrator\\Local Settings\\%temp%\\美女图片.jpg
行为描述:创建本地线程
详情信息: TargetProcess: rundll32.exe, InheritedFromPID = 156, ProcessID = 1796, ThreadID = 1012,
StartAddress = 4AEA7456, Parameter = 00000000
TargetProcess: rundll32.exe, InheritedFromPID = 156, ProcessID = 1796, ThreadID = 796, StartAddress
= 7C947EBB, Parameter = 00000000
TargetProcess: rundll32.exe, InheritedFromPID = 156, ProcessID = 1796, ThreadID = 716, StartAddress
= 7C930230, Parameter = 00000000
文件行为
行为描述:创建文件
详情信息: C:\\Documents and Settings\\Administrator\\Local Settings\\%temp%\\美女图片.jpg
行为描述:修改文件内容
腾讯公司 版权所有 1 / 4
腾讯哈勃分析系统
http://habo.qq.com
详情信息: C:\\Documents and Settings\\Administrator\\Local Settings\\%temp%\\美女图片.jpg ---> Offset = 0
行为描述:查找文件
详情信息: FileName = C:\\Documents and Settings\\Administrator\\Local Settings\\%temp%\\美女图片.jpg
FileName = C:\\Documents and Settings
FileName = C:\\Documents and Settings\\Administrator
FileName = C:\\Documents and Settings\\Administrator\\My Documents
FileName = C:\\Documents and Settings\\All Users
FileName = C:\\Documents and Settings\\All Users\\Documents
FileName = C:\\Documents and Settings\\Administrator\\桌面
FileName = C:\\Documents and Settings\\All Users\\桌面
FileName = C:\\WINDOWS
FileName = C:\\WINDOWS\\system32
FileName = C:\\WINDOWS\\system32\\rundll32.exe
FileName = D:\\*
FileName = D:\\*.7z
FileName = D:\\*.zip
FileName = D:\\*.rar
其他行为
行为描述:创建互斥体
详情信息: CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
MSCTF.Shared.MUTEX.ELH
MSCTF.Shared.MUTEX.IKH
MSCTF.Shared.MUTEX.ABH
行为描述:创建事件对象
详情信息: EventName = DINPUTWINMM
EventName = MSCTF.SendReceive.Event.IKH.IC
EventName = MSCTF.SendReceiveConection.Event.IKH.IC
腾讯公司 版权所有 2 / 4
腾讯哈勃分析系统
http://habo.qq.com
EventName = MSCTF.SendReceive.Event.ABH.IC
EventName = MSCTF.SendReceiveConection.Event.ABH.IC
行为描述:查找指定窗口
详情信息: NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [ShImgVw:CPreviewWnd,]
NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
行为描述:打开照片查看器
详情信息: C:\\Documents and Settings\\Administrator\\Local Settings\\%temp%\\美女图片.jpg
行为描述:调整进程token权限
详情信息: SE_LOAD_DRIVER_PRIVILEGE
行为描述:打开事件
详情信息: HookSwitchHookEnabledEvent
_fCanRegisterWithShellService
CTF.ThreadMIConnectionEvent.000007B4.00000000.00000053
CTF.ThreadMarshalInterfaceEvent.000007B4.00000000.00000053
MSCTF.SendReceiveConection.Event.ELH.IC
MSCTF.SendReceive.Event.ELH.IC
CTF.ThreadMIConnectionEvent.000007B4.00000000.00000054
CTF.ThreadMarshalInterfaceEvent.000007B4.00000000.00000054
行为描述:直接操作物理设备
详情信息: \\??\\PhysicalDrive0
行为描述:隐藏指定窗口
详情信息: [Window,Class] = [,_EL_Timer]
行为描述:打开互斥体
详情信息: ShimCacheMutex
运行截图
|
楼主: BHHZDQL
[复制链接]
发表于 2017-5-30 10:56:03
楼主
他怎么知道是joke的
