本帖最后由 191196846 于 2017-9-14 23:02 编辑
360TSE DP KILL
VT(13/59) :https://www.virustotal.com/#/fil ... 350c5bfdd/detection
看起来不像是误报
Habo( 未发现风险):
[mw_shl_code=css,true]基本信息
文件名称:
PatchWinRAR.rar
MD5: 8ed98fc8e71afe407b234a95cd6789c4
文件类型: Rar
上传时间: 2017-09-14 22:57:36
出品公司: N/A
版本: N/A
壳或编译器信息: PACKER:UPX V2.00-V3.00 -> Markus Oberhumer & Laszlo Molnar & John Reiser *
子文件信息: 详情
关键行为
行为描述: 打开注册表_检测虚拟机相关
详情信息:
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Oracle VM VirtualBox Guest Additions
进程行为
行为描述: 枚举进程
详情信息:
N/A
注册表行为
行为描述: 打开注册表_检测虚拟机相关
详情信息:
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\Oracle VM VirtualBox Guest Additions
其他行为
行为描述: 打开事件
详情信息:
HookSwitchHookEnabledEvent
CTF.ThreadMIConnectionEvent.000007E8.00000000.0000000F
CTF.ThreadMarshalInterfaceEvent.000007E8.00000000.0000000F
MSCTF.SendReceiveConection.Event.IOH.IC
MSCTF.SendReceive.Event.IOH.IC
行为描述: 查找指定窗口
详情信息:
NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
行为描述: 窗口信息
详情信息:
Pid = 2632, Hwnd=0x10340, Text = 确定, ClassName = Button.
Pid = 2632, Hwnd=0x10342, Text = Patch unsuccessfully or already!, ClassName = Static.
Pid = 2632, Hwnd=0x50338, Text = Jongan, ClassName = #32770.
行为描述: 打开互斥体
详情信息:
ShimCacheMutex
行为描述: 创建互斥体
详情信息:
CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
MSCTF.Shared.MUTEX.IOH
进程树
patchwinrar.exe (PID: 0x00000a48)[/mw_shl_code]
为什么要检测虚拟机呢? 很可疑, 楼主还是小心点
|