恶意

显示全部楼层 · 发表于 2018-2-4 17:55:21

http://bbs.huorong.cn/forum.php? ... mp;extra=#pid205966

链接：https://pan.baidu.com/s/1dxOMsu 密码：ugko

显示全部楼层 · 发表于 2018-2-4 18:13:21

显示全部楼层 · 发表于 2018-2-4 20:39:32

你卡饭的号怎么不也取名字叫：重庆客运段。啊？

显示全部楼层 · 发表于 2018-2-4 20:59:34

sep启发杀SMG.Heur！gen

显示全部楼层 · 发表于 2018-2-5 09:51:24

pal家族发表于 2018-2-4 20:39
你卡饭的号怎么不也取名字叫：重庆客运段。啊？

先后顺序

显示全部楼层 · 发表于 2018-2-6 09:37:36

显示全部楼层 · 发表于 2018-2-18 21:55:56

文件检测评级：高度风险
基本信息

文件名称：

小白龙2.2.exe

MD5：

0ca8dacbed8deda673fed7c21847b454

文件类型：

EXE

上传时间：

2018-02-18 21:53:04

出品公司：

N/A

版本：

N/A

壳或编译器信息：

PACKER:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]

子文件信息：

upx_c_65edc56adumpFile / 407eb47782e11a9d461b78cee03f8d1e / EXE

关键行为

行为描述：	修改用户密码
详情信息：	ImagePath = C:\WINDOWS\system32\net.exe, CmdLine = net user Administrator feiwucaiyonghabo ImagePath = C:\WINDOWS\system32\net.exe, CmdLine = net user admin feiwucaiyonghabo
行为描述：	关机或重启
详情信息：	InitiateSystemShutdownExW NtRaiseHardError ErrorStatus = C000021A
行为描述：	修改硬盘引导扇区
详情信息：	NtWriteFile
行为描述：	添加新用户帐号
详情信息：	ImagePath = C:\WINDOWS\system32\net.exe, CmdLine = net user 解锁加QQ3358292671$ feiwucaiyonghabo /add
行为描述：	添加管理员权限
详情信息：	ImagePath = C:\WINDOWS\system32\net.exe, CmdLine = net localgroup administrators 解锁加QQ3358292671$ /add

进程行为

行为描述：	创建进程
详情信息：	[0x00000b00]ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = cmd /c ""C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\锁机.bat" " [0x00000b24]ImagePath = C:\WINDOWS\system32\shutdown.exe, CmdLine = Shutdown.exe -s -t 3
行为描述：	创建新文件进程
详情信息：	[0x00000b48]ImagePath = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\++++++++++++++++++++++++.exe, CmdLine = "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\++++++++++++++++++++++++.exe" [0x00000b78]ImagePath = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\硬盘逻辑锁.exe, CmdLine = "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\硬盘逻辑锁.exe"
行为描述：	创建本地线程
详情信息：	TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2776, ThreadID = 2812, StartAddress = 765E964D, Parameter = 001B5320

文件行为

行为描述：	创建文件
详情信息：	C:\Documents and Settings\Administrator\Local Settings\Temp\锁机.bat C:\Documents and Settings\Administrator\Local Settings\Temp\++++++++++++++++++++++++.exe C:\Documents and Settings\Administrator\Local Settings\Temp\硬盘逻辑锁.exe
行为描述：	修改脚本文件
详情信息：	C:\Documents and Settings\Administrator\Local Settings\Temp\锁机.bat ---> Offset = 0
行为描述：	创建可执行文件
详情信息：	C:\Documents and Settings\Administrator\Local Settings\Temp\++++++++++++++++++++++++.exe C:\Documents and Settings\Administrator\Local Settings\Temp\硬盘逻辑锁.exe
行为描述：	修改文件内容
详情信息：	C:\Documents and Settings\Administrator\Local Settings\Temp\++++++++++++++++++++++++.exe ---> Offset = 0 C:\Documents and Settings\Administrator\Local Settings\Temp\硬盘逻辑锁.exe ---> Offset = 0
行为描述：	查找文件
详情信息：	FileName = C:\Documents and Settings FileName = C:\Documents and Settings\Administrator FileName = C:\Documents and Settings\Administrator\My Documents FileName = C:\Documents and Settings\All Users FileName = C:\Documents and Settings\All Users\Documents FileName = C:\Documents and Settings\Administrator\桌面 FileName = C:\Documents and Settings\All Users\桌面 FileName = C:\DOCUME~1 FileName = C:\DOCUME~1\ADMINI~1 FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1 FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\锁机.bat FileName = C:\Documents and Settings\Administrator\Local Settings FileName = C:\Documents and Settings\Administrator\Local Settings\Temp FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%

注册表行为

行为描述：	修改注册表
详情信息：	\REGISTRY\USER\S-\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\锁机.bat \REGISTRY\USER\S-\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\++++++++++++++++++++++++.exe \REGISTRY\USER\S-*\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\硬盘逻辑锁.exe
行为描述：	删除注册表键值
详情信息：	\REGISTRY\MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW\DWFileTreeRoot
行为描述：	删除注册表键
详情信息：	\REGISTRY\MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW\

其他行为

行为描述：	创建互斥体
详情信息：	CTF.LBES.MutexDefaultS-* CTF.Compart.MutexDefaultS-* CTF.Asm.MutexDefaultS-* CTF.Layouts.MutexDefaultS-* CTF.TMD.MutexDefaultS-* CTF.TimListCache.FMPDefaultS-MUTEX.DefaultS- Local\ZonesCounterMutex Local\ZoneAttributeCacheCounterMutex Local\ZonesCacheCounterMutex Local\ZonesLockedCacheCounterMutex
行为描述：	创建事件对象
详情信息：	EventName = Global\crypt32LogoffEvent EventName = DINPUTWINMM EventName = Global\userenv: User Profile setup event
行为描述：	添加管理员权限
详情信息：	ImagePath = C:\WINDOWS\system32\net.exe, CmdLine = net localgroup administrators 解锁加QQ3358292671$ /add
行为描述：	修改硬盘引导扇区
详情信息：	NtWriteFile
行为描述：	调整进程token权限
详情信息：	SE_LOAD_DRIVER_PRIVILEGE SE_SHUTDOWN_PRIVILEGE SE_REMOTE_SHUTDOWN_PRIVILEGE SE_DEBUG_PRIVILEGE SE_RESTORE_PRIVILEGE SE_BACKUP_PRIVILEGE
行为描述：	打开事件
详情信息：	HookSwitchHookEnabledEvent _fCanRegisterWithShellService \SECURITY\LSA_AUTHENTICATION_INITIALIZED Global\crypt32LogoffEvent
行为描述：	添加新用户帐号
详情信息：	ImagePath = C:\WINDOWS\system32\net.exe, CmdLine = net user 解锁加QQ3358292671$ feiwucaiyonghabo /add
行为描述：	直接操作物理设备
详情信息：	\??\physicaldrive0
行为描述：	可执行文件签名信息
详情信息：	C:\Documents and Settings\Administrator\Local Settings\Temp\++++++++++++++++++++++++.exe(签名验证: 未通过) C:\Documents and Settings\Administrator\Local Settings\Temp\硬盘逻辑锁.exe(签名验证: 未通过)
行为描述：	修改用户密码
详情信息：	ImagePath = C:\WINDOWS\system32\net.exe, CmdLine = net user Administrator feiwucaiyonghabo ImagePath = C:\WINDOWS\system32\net.exe, CmdLine = net user admin feiwucaiyonghabo
行为描述：	关机或重启
详情信息：	InitiateSystemShutdownExW NtRaiseHardError ErrorStatus = C000021A
行为描述：	可执行文件MD5
详情信息：	C:\Documents and Settings\Administrator\Local Settings\Temp\++++++++++++++++++++++++.exe ---> d46de8645f09c0ed6d9ac614e2dc87d1 C:\Documents and Settings\Administrator\Local Settings\Temp\硬盘逻辑锁.exe ---> c524f41ee897864c9050eb3ac7e37f09
行为描述：	打开互斥体
详情信息：	Local\!IETld!Mutex ShimCacheMutex

文件分析图谱(PortEx)

[病毒样本] 恶意

本帖子中包含更多资源