一个电视直播软件

ATP_synthase

https://www.virustotal.com/#/fil ... 1856e44ed/detection

https://pan.baidu.com/s/1geA1lXD 密码：oegy

报的杀软很多，不知道有没有哪位大佬能分析下具体行为

2605276004x

VT行为分析

1. 文件系统操作
   
2. 打开文件
   
3. C：\ 9143d4ce43e711d920c5310c65d88d5dd696422b18bbced2a2fe7e71856e44ed
   
4. \\。\ PIPE \ LSARPC
   
5. \\。\ MountPointManager
   
6. C：\ WINDOWS \注册\ R000000000007.clb
   
7. C：\ WINDOWS \ SYSTEM32 \ msxml3r.dll
   
8. \\。\ PhysicalDrive0
   
9. C：\ AUTOEXEC.BAT
   
10. C：？\ Default.htm的SN = 734e50fa＆V = 2.88.0
    
11. C：\ WINDOWS \ SYSTEM32 \ xpsp3res.dll
    
12. C：\ WINDOWS \ WindowsShell.manifest
    
13. 读取文件
    
14. C：\ WINDOWS \注册\ R000000000007.clb
    
15. C：\ AUTOEXEC.BAT
    
16. C：\数据\ nettv.dat
    
17. C：\数据\ NetTV.xml
    
18. C：\ WINDOWS \ SYSTEM32 \ WINSOCK.DLL
    
19. 写的文件
    
20. C：\影像\ soft_main.temp
    
21. C：\ default.temp
    
22. C：\数据\ nettv.temp
    
23. C：\数据\ nettv.xml
    
24. C：\ Documents and Settings \ All Users \ Application Data \ Microsoft \ Dr Watson \ drwtsn32.log
    
25. 移动文件
    
26. C：\影像\ soft_main.temp
    
27. C：\ default.temp
    
28. C：\数据\ nettv.temp
    
29. 已删除文件
    
30. C：\ DOCUME〜1 \ <USER>〜1个\ LOCALS〜1个\ TEMP \ Upgrader3.exe
    
31. C：\数据\ NetTV.xml
    
32. 过程和服务行为
    
33. 创建的进程
    
34. C：\ WINDOWS \ system32 \ drwtsn32 -p 1012 -e 1172 -g
    
35. Windows搜索
    
36. MS_AutodialMonitor
    
37. MS_WebcheckMonitor
    
38. 服务经理打开了
    
39. SERVICES_ACTIVE_DATABASE - localhost
    
40. 服务打开
    
41. RASMAN
    
42. 挂钩登记
    
43. WH_CBT - SetWindowsHook
    
44. WH_MOUSE - SetWindowsHook
    
45. WH_KEYBOARD - SetWindowsHook
    
46. 同步机制
    
47. 互斥体创建
    
48. RasPbFile
    
49. CTF.LBES.MutexDefaultS-1-5-21-1275210071-920026266-1060284298-1003
    
50. CTF.Compart.MutexDefaultS-1-5-21-1275210071-920026266-1060284298-1003
    
51. CTF.Asm.MutexDefaultS-1-5-21-1275210071-920026266-1060284298-1003
    
52. CTF.Layouts.MutexDefaultS-1-5-21-1275210071-920026266-1060284298-1003
    
53. CTF.TMD.MutexDefaultS-1-5-21-1275210071-920026266-1060284298-1003
    
54. 互斥量开启
    
55. RasPbFile
    
56. ShimCacheMutex
    
57. 模块已加载
    
58. 运行时DLL
    
59. KERNEL32.DLL
    
60. ntdll.dll中
    
61. NTDLL
    
62. user32.dll中
    
63. ADVAPI32.DLL
    
64. 的oleaut32.dll
    
65. MPR.DLL
    
66. VERSION.DLL
    
67. GDI32.DLL
    
68. OLE32.DLL
    
69. 网络通信
    
70. HTTP请求
    
71. http://check.wlds.net/check/isdaolian.asp?id=734e50fa&t=2
    
72. http://data.wlds.net/check/update/update.xml
    
73. http://data.wlds.net/check/update/update.inf
    
74. [img]http://data.wlds.net/updatexml/images/soft_main.gif[/img]
    
75. http://data.wlds.net/updateXML/default.htm
    
76. http://nettv.wlds.net/updateXML/NetTV.dat
    
77. DNS解决方案
    
78. check.wlds.net
    
79. data.wlds.net
    
80. nettv.wlds.net
    
81. TCP通信
    
82. 125.208.11.136:80
    
83. UDP通信
    
84. <MACHINE_DNS_SERVER>：53

复制代码

卡巴：not a virus:download.win32.snojan.egq

ATP_synthase

2605276004x 发表于 2018-1-25 18:28
VT行为分析卡巴：not a virus:download.win32.snojan.egq

我这里卡巴是拉黑的，和你的不一样

llcy

Win32/Trojan.0fa

2605276004x

wusiyuanjh 发表于 2018-1-25 18:54
我这里卡巴是拉黑的，和你的不一样

你再扫一遍试试

ziyerain2015

ziyerain2015

链接: https://pan.baidu.com/s/1kWmG7XX 密码: 9ae5
试试这个360不报！

ATP_synthase

ziyerain2015 发表于 2018-1-25 20:04
链接: https://pan.baidu.com/s/1kWmG7XX 密码: 9ae5
试试这个360不报！

谢谢分享

諾言敵不過時間

qq492792

卡巴报毒。楼主用的卡巴不报毒吗？