搜索
楼主: kxmp
收起左侧

[可疑文件] 神秘文件

[复制链接]
欧阳宣
发表于 2017-9-13 10:38:58 | 显示全部楼层
avira kill both

TR/Black.Gen2
TR/CoinMiner.airikd
和泉纱雾
发表于 2017-9-13 10:54:48 | 显示全部楼层


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
学雷锋做人
发表于 2017-9-13 11:21:06 | 显示全部楼层


32a.exe 行为日志
[mw_shl_code=css,true]11:18:29[1]:(允许)程序启动:File_Analysis 行为记录成功开启   规则版本:1.9.0.0

11:18:29[2]:(允许)打开内核对象:\\.\Scsi0:(物理设备)

11:18:29[7]:(允许)打开内核对象:\\.\Scsi1:(物理设备)

11:18:29[12]:(允许)打开内核对象:\\.\Scsi2:(物理设备)

11:18:29[17]:(允许)打开内核对象:\\.\Scsi3:(物理设备)

11:18:29[22]:(允许)打开内核对象:\\.\Scsi4:(物理设备)

11:18:29[27]:(允许)打开内核对象:\\.\Scsi5:(物理设备)

11:18:29[32]:(允许)打开内核对象:\\.\Scsi6:(物理设备)

11:18:29[37]:(允许)打开内核对象:\\.\Scsi7:(物理设备)

11:18:29[42]:(允许)打开内核对象:\\.\Scsi8:(物理设备)

11:18:29[47]:(允许)打开内核对象:\\.\Scsi9:(物理设备)

11:18:29[52]:(允许)打开内核对象:\\.\Scsi10:(物理设备)

11:18:29[57]:(允许)打开内核对象:\\.\Scsi11:(物理设备)

11:18:29[62]:(允许)打开内核对象:\\.\Scsi12:(物理设备)

11:18:29[67]:(允许)打开内核对象:\\.\Scsi13:(物理设备)

11:18:29[72]:(允许)打开内核对象:\\.\Scsi14:(物理设备)

11:18:29[77]:(允许)打开内核对象:\\.\Scsi15:(物理设备)

11:18:29[82]:(阻止)修改内核对象:\\.\PhysicalDrive0(物理磁盘)

11:18:29[83]:(阻止)写注册表值:HKEY_CURRENT_USER\Software\Borland\Delphi\Locales\.key     数据:

11:18:29[84]:(允许)读取文件:C:\Windows\system32\rsaenh.dll     访问权限:-2147483648

11:18:29[85]:(安全环境)写入文件:C:\Users\leifeng\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-2719753718-921020125-3452626538-1001\164ddfe1720e19635429cd98df8c24e6_7fdb6ba4-e868-4724-8f8d-4ca8caedda34     访问权限:1073741824

11:18:29[86]:(允许)查找文件:C:\Users\leifeng\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-2719753718-921020125-3452626538-1001\164ddfe1720e19635429cd98df8c24e6_*

11:18:29[87]:(允许)查找文件:C:\Users\leifeng\AppData\Roaming\Microsoft\Crypto\RSA\*

11:18:29[88]:(允许)读取文件:C:\Users\leifeng\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-2719753718-921020125-3452626538-1001\164ddfe1720e19635429cd98df8c24e6_7fdb6ba4-e868-4724-8f8d-4ca8caedda34     访问权限:-2147483648

11:18:29[89]:(允许)查找文件:C:\Users\leifeng\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-2719753718-921020125-3452626538-1001\164ddfe1720e19635429cd98df8c24e6_*

11:18:29[90]:(允许)查找文件:C:\Users\leifeng\AppData\Roaming\Microsoft\Crypto\RSA\*

11:18:29[91]:(安全环境)写入文件:C:\Users\leifeng\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-2719753718-921020125-3452626538-1001\164ddfe1720e19635429cd98df8c24e6_7fdb6ba4-e868-4724-8f8d-4ca8caedda34     访问权限:1073741824

11:18:30[93]:(允许)获取文件属性:C:\Users\leifeng\Desktop\File_safe\license.bin

11:18:30[94]:(允许)获取文件属性:C:\Users\leifeng\AppData\Roaming\Default project 1.0.0\license.bin

11:18:30[95]:(阻止)创建注册表键:HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\st1737991685a.bts

11:18:30[96]:(阻止)写注册表值:HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\     数据:

11:18:30[97]:(安全环境)写入文件:C:\Users\leifeng\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-2719753718-921020125-3452626538-1001\a78bd6edc93b161451b1b3ed1f010651_7fdb6ba4-e868-4724-8f8d-4ca8caedda34     访问权限:1073741824

11:18:30[98]:(允许)查找文件:C:\Users\leifeng\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-2719753718-921020125-3452626538-1001\a78bd6edc93b161451b1b3ed1f010651_*

11:18:30[99]:(允许)查找文件:C:\Users\leifeng\AppData\Roaming\Microsoft\Crypto\RSA\*

11:18:30[100]:(允许)读取文件:C:\Users\leifeng\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-2719753718-921020125-3452626538-1001\a78bd6edc93b161451b1b3ed1f010651_7fdb6ba4-e868-4724-8f8d-4ca8caedda34     访问权限:-2147483648

11:18:30[101]:(允许)查找文件:C:\Users\leifeng\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-2719753718-921020125-3452626538-1001\a78bd6edc93b161451b1b3ed1f010651_*

11:18:30[102]:(允许)查找文件:C:\Users\leifeng\AppData\Roaming\Microsoft\Crypto\RSA\*

11:18:30[103]:(安全环境)写入文件:C:\Users\leifeng\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-2719753718-921020125-3452626538-1001\a78bd6edc93b161451b1b3ed1f010651_7fdb6ba4-e868-4724-8f8d-4ca8caedda34     访问权限:1073741824

11:18:30[105]:(安全环境)写入文件:C:\Users\leifeng\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-2719753718-921020125-3452626538-1001\782b757ca17f4c9fe18905e9cc238a60_7fdb6ba4-e868-4724-8f8d-4ca8caedda34     访问权限:1073741824

11:18:30[106]:(允许)查找文件:C:\Users\leifeng\AppData\Roaming\Microsoft\Crypto\RSA\S-1-5-21-2719753718-921020125-3452626538-1001\782b757ca17f4c9fe18905e9cc238a60_*

11:18:30[107]:(允许)查找文件:C:\Users\leifeng\AppData\Roaming\Microsoft\Crypto\RSA\*

11:18:30[108]:(允许)程序退出:File_Analysis 行为记录到此为止[/mw_shl_code]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
和泉纱雾
发表于 2017-9-13 12:21:11 | 显示全部楼层


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
WCMS
发表于 2017-9-13 12:41:58 | 显示全部楼层
bullguard kill all
猥琐大叔
发表于 2017-9-13 14:19:41 | 显示全部楼层
本帖最后由 猥琐大叔 于 2017-9-13 15:00 编辑


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
kxmp
 楼主| 发表于 2017-9-13 21:12:20 | 显示全部楼层
学雷锋做人 发表于 2017-9-13 11:21
32a.exe 行为日志
[mw_shl_code=css,true]11:18:29[1]:(允许)程序启动:File_Analysis 行为记录成功 ...

你32a就这么退出了?!
没记错的话我跑出了好多生成物
要不然就是url过期了
学雷锋做人
发表于 2017-9-13 21:43:50 | 显示全部楼层
kxmp 发表于 2017-9-13 21:12
你32a就这么退出了?!
没记错的话我跑出了好多生成物
要不然就是url过期了

总之我这跑出的只有这些,不存在遗漏,只要有行为都可以记录到
kxmp
 楼主| 发表于 2017-9-13 23:53:46 | 显示全部楼层
学雷锋做人 发表于 2017-9-13 21:43
总之我这跑出的只有这些,不存在遗漏,只要有行为都可以记录到

我打开了32a.exe
他果然又下载了文件

你果然漏了!

其他附件都是32a下载的...
学雷锋做人
发表于 2017-9-14 07:34:58 | 显示全部楼层
本帖最后由 学雷锋做人 于 2017-9-14 07:37 编辑
kxmp 发表于 2017-9-13 23:53
我打开了32a.exe
他果然又下载了文件

在下载文件方面早就实现全面监控,但是它在我这的测试环境下没这么做,你叫我怎么办?

再比如它下载文件的位置在哪?如果我在测试环境里找到那才能证明漏了

就目前File_Analysis的监控方面而言,跑勒索都跟玩一样,更别说这些低端样本了

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2017-11-22 10:01 , Processed in 0.040339 second(s), 4 queries , MemCached On.

快速回复 返回顶部 返回列表