搜索
查看: 1577|回复: 18
收起左侧

[病毒样本] 请各位分析下这个是什么毒 具体什么行为

[复制链接]
xingluhuayu
发表于 2018-2-12 14:21:15 | 显示全部楼层 |阅读模式
软件里带的 解压后直接报毒  没有去运行 不知道什么行为

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
xingluhuayu
 楼主| 发表于 2018-2-12 14:22:10 | 显示全部楼层
在线查毒 大部分都会报读 有限几个没有报 也不知道是啥
XZ8SM7Sx0bVkoUV
发表于 2018-2-12 14:55:48 | 显示全部楼层

火绒kill,中了感染型?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
191196846
发表于 2018-2-12 14:56:38 | 显示全部楼层
  1. 事件类型:     检测到恶意对象
  2. 应用程序\名称:     ShadowsocksR
  3. 应用程序\路径:     C:\Users\USER\Downloads\Compressed\VPN\ShadowsocksR-win-4.9.0\
  4. 应用程序\进程 ID:     12220
  5. 用户:     DESKTOP-G67ASI6\USER (活动用户)
  6. 组件:     网页反病毒
  7. 结果\描述:     检测到威胁
  8. 结果\类型:     病毒
  9. 结果\名称:     Virus.Win32.Nimnul.a
  10. 结果\威胁级别:     高
  11. 结果\精确度:     确切
  12. 对象:     http://att.kafan.cn/forum.php?mod=attachment&aid=Mjk2MDY5MnxkY2MyYzg4ZHwxNTE4NDE4NTcwfDEwNTg1Mjd8MjExNTg0Mg%3D%3D//sqlite3.dll
  13. 对象\类型:     网页
  14. 对象\路径:     http://att.kafan.cn/forum.php?mod=attachment&aid=Mjk2MDY5MnxkY2MyYzg4ZHwxNTE4NDE4NTcwfDEwNTg1Mjd8MjExNTg0Mg%3D%3D//
  15. 对象\名称:     sqlite3.dll
  16. 原因:     本地数据库
  17. 数据库发布日期:     2018/2/12 10:21:00
复制代码
saleniy35
发表于 2018-2-12 14:56:57 | 显示全部楼层
ESET

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
你好,再见
发表于 2018-2-12 14:57:30 | 显示全部楼层





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
安全守护者
发表于 2018-2-12 14:58:35 | 显示全部楼层
58 个检测引擎检测到此文件
SHA-256        a3080bbfe87998f5f7144d5622cda062b5d425d6a786f3639f58c94afc450628
文件名        sqlite3.dll
文件大小        926.9 KB
上次分析时间        2018-02-12 06:57:51 UTC
安全守护者
发表于 2018-2-12 15:02:11 | 显示全部楼层
静态特征检测
Virus.Win32.Nimnul.a,
  1. 加壳信息 : 存在加壳
  2. 文件熵 : 7.091882 (可能存在加壳)
  3. cpl分析 : 未检测到威胁
  4. fpu反调试 : 未检测到
  5. 载入地址 : 可疑的载入点
  6. 代码入口信息 : 正常的入口
  7. DOS stub : : 正常
  8. TLS表信息 : 未发现
  9. 段信息 : 6
  10. 代码段 : 未见异常
  11. 只读数据段 : 未见异常
  12. 数据段 : 未见异常
  13. 资源段 : 未见异常
  14. 重定位段 : 未见异常
  15. 代码段 : 可能存在自修改代码
  16. 时间戳 : 未见异常
  17. ASLR : 开启
  18. DEP/NX : 开启
  19. SEH : 开启
复制代码
  1. 行为类别        危害等级        类目行为代表
  2. 加载模块        [敏感]        加载模块 HarddiskVolume1\WINDOWS\system32\advapi32.dll
  3. 检测虚拟机        [敏感]        通过 MemoryOperation 技术检测虚拟机或调试器,逃避分析与查杀
  4. 变更权限        [敏感]        改变进程的权限
  5. 创建可执行程序        [高危]        创建可执行程序 HarddiskVolume1\vastest\vasdllloadermgr.exe
  6. 映射文件        [敏感]        映射文件 HarddiskVolume1\vastest\vasdllloadermgr.exe
  7. 创建进程        [高危]        创建进程 C:\vastest\vasdllloadermgr.exe
  8. 自解压        [高危]        代码自解压,逃避分析与查杀
  9. 遍历线程列表        [高危]        遍历系统中的线程
  10. 创建互斥量        [中危]        创建互斥量 {7D3175F3-3A63-56F6-4BA1-5AAF85A3F846} 防止重复感染
  11. 设置自启动        [高危]        将 C:\vastest\vasdllloadermgr.exe 设置为开机自启动
  12. 替换浏览器运行库        [高危]        替换浏览器进程或运行库,实现浏览器劫持
  13. 读取文件        [中危]        读取文件 HarddiskVolume1\Documents and Settings\xpuser\「开始」菜单\程序\启动\umlohopi.exe
  14. 访问网络服务        [高危]        获取系统提供的socket服务
  15. 侦听网络端口        [高危]        侦听网络端口 0.0.0.0: 0
  16. 域名查询        [高危]        查询域名信息:google.com
  17. 创建网络连接        [高危]        连接到远程主机 192.168.4.227: 80
  18. 修改文件时间        [高危]        修改 HarddiskVolume1\Documents and Settings\All Users\Application Data\Package Cache\{8e70e4e1-06d7-470b-9f74-a51bef21088e}\vcredist_x86.exe 的创建时间为 2016-07-06 00_13_52
  19. 写入文件        [高危]        写入文件 HarddiskVolume1\Documents and Settings\xpuser\Local Settings\Temp\Microsoft .NET Framework 4 Setup_20160707_084538796.html
  20. 修改文件属性        [高危]        将文件 HarddiskVolume1\Documents and Settings\xpuser\Local Settings\Temp\ose00000.exe 的属性更改为隐藏或只读
  21. 系统调用异常        [中危]        异常的系统调用方式
复制代码


xingluhuayu
 楼主| 发表于 2018-2-12 15:08:22 | 显示全部楼层
Jirehlov1234
发表于 2018-2-12 15:14:22 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2018-5-25 20:22 , Processed in 0.121432 second(s), 20 queries .

快速回复 返回顶部 返回列表