Thumbs.db

显示全部楼层 · 发表于 2017-11-18 20:36:07

卡巴先是启发杀，恢复后再次隔离报DangrousObject，扫描报Worm.Win32.Bundpil.aws

https://www.virustotal.com/#/fil ... 5e9893b07/detection

显示全部楼层 · 发表于 2017-11-18 21:01:19

火绒MISS

显示全部楼层 · 发表于 2017-11-18 21:02:36

红伞安全

显示全部楼层 · 发表于 2017-11-18 21:09:20

无敌

显示全部楼层 · 发表于 2017-11-18 21:16:36

分析任务
分析类型虚拟机标签开始时间结束时间持续时间
文件 (Windows) win7-sp1-x64-hpdapp01-1 2017-11-18 20:51:39 2017-11-18 20:54:05 146 秒
魔盾分数 10.0
结论：Gamarue病毒

复制代码

文件详细信息
文件名 Thumbs.db
文件大小 189440 字节
文件类型 data
MD5 7af9c791995495261085f7addaac944d
SHA1 66af9bc9e45c5e08c09ab61d91b37b32858a23c6
SHA256 c9196431a84c08233ff13ef53a706503398cfcf30adc3fad2c4504b5e9893b07
SHA512 4bc8493740d9857c1d93bb58272e3364c2e5f9df38e6bf4b001801452de8b19660d4b6a0edd54b31e1e8636b656d9af00a2b9173a5644afeddcea99fb4839cb9
CRC32 6D8B8D66
Ssdeep 3072:IM6S7k2BVElOdOgUMnDy+gnQK+SoTTK4y18o8VlnMdMVpG6N08H1JuGXRdH5/4De:ICg8ilOdOglDy+gnw/qW9hG6lJVXrZ/r
Yara
without_attachments - Rule to detect the no presence of any attachment
without_images - Rule to detect the no presence of any image
without_urls - Rule to detect the no presence of any url

复制代码

复制代码

复制代码

复制代码

复制代码

显示全部楼层 · 发表于 2017-11-18 21:26:11

sophos 已入库

显示全部楼层 · 发表于 2017-11-18 21:41:50

名称: Trojan:Win32/Vigorf.A
名称: Worm:Win32/Gamarue.I

Microsoft 提示两个家族

显示全部楼层 · 发表于 2017-11-18 22:14:06

FSP MISS 这个是迅雷的嘛

显示全部楼层 · 发表于 2017-11-18 22:26:26

ziyerain2015 发表于 2017-11-18 22:14
FSP MISS 这个是迅雷的嘛

不是吧。。。这是xp的，迅雷不是Thumbs，是Thunder

显示全部楼层 · 发表于 2017-11-18 22:27:51

本帖最后由 ziyerain2015 于 2017-11-18 22:28 编辑

Jirehlov1234 发表于 2017-11-18 22:26
不是吧。。。这是xp的，迅雷不是Thumbs，是Thunder

好吧，文盲路过。。。。这个好像以前U盘经常看见

[可疑文件] Thumbs.db