Win2008中招木马,哈勃分析有网络连接去爆菊花吧.

显示全部楼层 · 发表于 2017-7-3 11:32:43

eset

Win32/Farfli.ASU

显示全部楼层 · 发表于 2017-7-3 11:39:55

显示全部楼层 · 发表于 2017-7-3 11:54:46

emsi 秒

显示全部楼层 · 发表于 2017-7-3 12:30:35

BDTS

显示全部楼层 · 发表于 2017-7-3 15:09:16

NS Kill

显示全部楼层 · 发表于 2017-7-3 15:24:09

文件名: svchost.exe
威胁名称: SONAR.SuspLaunch!g13完整路径: 不可用
____________________________
____________________________

在电脑上
2017-7-3 ( 15:22:20 )

上次使用时间
2017-7-3 ( 15:22:20 )

启动项
否

已启动
是

SONAR 主动防护监视电脑上的可疑程序活动。
____________________________

svchost.exe 威胁名称: SONAR.SuspLaunch!g13
定位

极少用户信任的文件
Norton 社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。
____________________________

来源: 外部介质

源文件:
svchost.exe
____________________________

文件操作

文件: f:\norton样本\sonar漏检\临时收集\ svchost.exe 威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 f:\norton样本\sonar漏检\临时收集\svchost.exe, PID:5328) 未采取操作
事件: 进程启动: f:\norton样本\sonar漏检\临时收集\ svchost.exe, PID:5328 (执行者 f:\norton样本\sonar漏检\临时收集\svchost.exe, PID:5328) 未采取操作
____________________________

文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

显示全部楼层 · 发表于 2017-7-3 15:34:29

360双击报不报？

显示全部楼层 · 发表于 2017-7-3 17:17:01

显示全部楼层 · 发表于 2017-7-3 17:58:51

360报告并隔离（解不解压都一样）

显示全部楼层 · 发表于 2017-7-3 19:47:49

本帖最后由安全守护者于 2017-7-3 19:49 编辑

文件检测评级：
高度风险
文件名称： svchost_heiheihei.zip

基本信息
文件名称：
svchost_heiheihei.zip
MD5：       c845da4fc73d66b75b3e2248ee1216b6
文件类型：       zip
上传时间：       2017-07-03 19:45:36
出品公司：       N/A
版本：       N/A
壳或编译器信息：       COMPILER:Microsoft Visual C++ 6.0
子文件信息：
svchost.exedumpFile /  ff69c7004cca55412fd9b4ca18cf2e92 /  EXE
svchost.exe /  ff69c7004cca55412fd9b4ca18cf2e92 /  EXE
关键行为
行为描述：       获取TickCount值
详情信息：
TickCount = 5432671, SleepMilliseconds = 1000.
TickCount = 5435796, SleepMilliseconds = 1000.
TickCount = 5439015, SleepMilliseconds = 1000.
TickCount = 5442250, SleepMilliseconds = 1000.
TickCount = 5445421, SleepMilliseconds = 1000.
TickCount = 5448546, SleepMilliseconds = 1000.
TickCount = 5451703, SleepMilliseconds = 1000.
TickCount = 5454859, SleepMilliseconds = 1000.
TickCount = 5458109, SleepMilliseconds = 1000.
TickCount = 5461265, SleepMilliseconds = 1000.
TickCount = 5464546, SleepMilliseconds = 1000.
行为描述：       修改注册表_启动项
详情信息：
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SVCSHOST
进程行为
行为描述：       创建本地线程
详情信息：
TargetProcess: svchost.exe, InheritedFromPID = 1944, ProcessID = 2516, ThreadID = 2528, StartAddress = 77C0A341, Parameter = 003F3CF0
TargetProcess: svchost.exe, InheritedFromPID = 1944, ProcessID = 2516, ThreadID = 2548, StartAddress = 77C0A341, Parameter = 003F3D80
TargetProcess: svchost.exe, InheritedFromPID = 1944, ProcessID = 2516, ThreadID = 2576, StartAddress = 77C0A341, Parameter = 003F3CF0
TargetProcess: svchost.exe, InheritedFromPID = 1944, ProcessID = 2516, ThreadID = 2676, StartAddress = 77C0A341, Parameter = 003F3D80
TargetProcess: svchost.exe, InheritedFromPID = 1944, ProcessID = 2516, ThreadID = 2752, StartAddress = 77C0A341, Parameter = 003F3CF0
TargetProcess: svchost.exe, InheritedFromPID = 1944, ProcessID = 2516, ThreadID = 2804, StartAddress = 77C0A341, Parameter = 003F3D80
TargetProcess: svchost.exe, InheritedFromPID = 1944, ProcessID = 2516, ThreadID = 2836, StartAddress = 77C0A341, Parameter = 003F3D80
TargetProcess: svchost.exe, InheritedFromPID = 1944, ProcessID = 2516, ThreadID = 2852, StartAddress = 77C0A341, Parameter = 00C30168
TargetProcess: svchost.exe, InheritedFromPID = 1944, ProcessID = 2516, ThreadID = 2888, StartAddress = 77C0A341, Parameter = 003F3CF0
TargetProcess: svchost.exe, InheritedFromPID = 1944, ProcessID = 2516, ThreadID = 2908, StartAddress = 77C0A341, Parameter = 00C30168
TargetProcess: svchost.exe, InheritedFromPID = 1944, ProcessID = 2516, ThreadID = 2936, StartAddress = 77C0A341, Parameter = 003F3CF0
TargetProcess: svchost.exe, InheritedFromPID = 1944, ProcessID = 2516, ThreadID = 2956, StartAddress = 77C0A341, Parameter = 00C30168
网络行为
行为描述：       建立到一个指定的套接字连接
详情信息：
URL: zw****et, IP: **.133.40.**:15441, SOCKET = 0x000000a8
URL: zw****et, IP: **.133.40.**:15441, SOCKET = 0x000000b4
URL: zw****et, IP: **.133.40.**:15441, SOCKET = 0x000000d8
URL: zw****et, IP: **.133.40.**:15441, SOCKET = 0x000000ec
行为描述：       按名称获取主机地址
详情信息：
gethostbyname: zw****et
注册表行为
行为描述：       修改注册表_启动项
详情信息：
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\SVCSHOST
其他行为
行为描述：       调用Sleep函数
详情信息：
[1]: MilliSeconds = 0.
[2]: MilliSeconds = 0.
[3]: MilliSeconds = 0.
[4]: MilliSeconds = 1000.
[5]: MilliSeconds = 0.
[6]: MilliSeconds = 0.
[7]: MilliSeconds = 0.
[8]: MilliSeconds = 0.
[9]: MilliSeconds = 1000.
[10]: MilliSeconds = 1000.
行为描述：       创建互斥体
详情信息：
CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe_7zdump\svchost.exe
zwp1544.f3322.net
行为描述：       创建事件对象
详情信息：
EventName = DINPUTWINMM
行为描述：       获取TickCount值
详情信息：
TickCount = 5432671, SleepMilliseconds = 1000.
TickCount = 5435796, SleepMilliseconds = 1000.
TickCount = 5439015, SleepMilliseconds = 1000.
TickCount = 5442250, SleepMilliseconds = 1000.
TickCount = 5445421, SleepMilliseconds = 1000.
TickCount = 5448546, SleepMilliseconds = 1000.
TickCount = 5451703, SleepMilliseconds = 1000.
TickCount = 5454859, SleepMilliseconds = 1000.
TickCount = 5458109, SleepMilliseconds = 1000.
TickCount = 5461265, SleepMilliseconds = 1000.
TickCount = 5464546, SleepMilliseconds = 1000.

[病毒样本] Win2008中招木马,哈勃分析有网络连接去爆菊花吧.

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源