求分析

引领五基生活

密码123

断簪

此文件存在危险，因此 Cent Browser 已将其拦截。

检测到的对象 ( 文件 ) 已删除;
G:\Downloads\victoria4.47b\victoria4.47b.exe;
UDS:Packed.Win32.Blackv.gen;木马程序;

lycys

360击杀，这东西要加驱

xiaoliang38

应该是病毒！
创建RWX内存

强制将一个创建的进程加载为另一个不相关进程的子进程

装载一个驱动器
driver service name: \Registry\Machine\System\CurrentControlSet\Services\PortTalk
从文件自身的二进制镜像中读取数据
self_read: process: victoria4.47b.exe, pid: 2036, offset: 0x00000000, length: 0x0000df26
self_read: process: victoria4.47b.exe, pid: 2036, offset: 0x00000000, length: 0x00010000
self_read: process: victoria4.47b.exe, pid: 2036, offset: 0x00000000, length: 0x001000e1
self_read: process: victoria4.47b.exe, pid: 2036, offset: 0x0000cf89, length: 0x00176ad2
投放出一个二进制文件并执行它
binary: C:\Users\test\AppData\Local\Temp\7ZipSfx.000\vcr447.exe
二进制源中出现非常规语言: Russian

二进制文件可能包含加密或压缩数据
section: name: UPX1, entropy: 7.90, characteristics: IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE, raw_size: 0x0000b400, virtual_size: 0x0000c000
可执行文件被使用UPX压缩
section: name: UPX0, entropy: 0.00, characteristics: IMAGE_SCN_CNT_UNINITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE, raw_size: 0x00000000, virtual_size: 0x00011000
文件已被至少十个VirusTotal上的反病毒引擎检测为病毒
MicroWorld-eScan: Trojan.GenericKD.5013099
CAT-QuickHeal: Trojan.Blackv
McAfee: Artemis!7A89F29503B1
Cylance: Unsafe
K7GW: Trojan ( 004b933f1 )
K7AntiVirus: Trojan ( 004b933f1 )
Cyren: W32/Trojan.FBKJ-5812
Symantec: Trojan.Gen.2
ESET-NOD32: a variant of Win32/Packed.NoobyProtect.Q suspicious
TrendMicro-HouseCall: TROJ_GEN.R005C0OLA17
Paloalto: generic.ml
GData: Trojan.GenericKD.5013099
Kaspersky: HEUR:HackTool.Win32.Generic
BitDefender: Trojan.GenericKD.5013099
NANO-Antivirus: Trojan.Win32.Blackv.eoeecq
Avast: Win32:Malware-gen
Tencent: Win32.Hacktool.Generic.Ajlx
Ad-Aware: Trojan.GenericKD.5013099
Emsisoft: Trojan.GenericKD.5013099 (B)
F-Secure: Trojan.GenericKD.5013099
DrWeb: Trojan.MulDrop7.32001
VIPRE: Trojan.Win32.Generic!BT
Invincea: heuristic
McAfee-GW-Edition: BehavesLike.Win32.Dropper.tc
Avira: TR/PWS.Sinowal.Gen
Antiy-AVL: Trojan[Packed]/Win32.Blackv
Endgame: malicious (moderate confidence)
Arcabit: Trojan.Generic.D4C7E6B
AegisLab: Packer.W32.Blackv!c
ZoneAlarm: HEUR:HackTool.Win32.Generic
Sophos: Mal/Generic-S
AhnLab-V3: Malware/Win32.Generic.C1926070
ALYac: Trojan.GenericKD.5013099
AVware: Trojan.Win32.Generic!BT
MAX: malware (ai score=85)
Yandex: Riskware.NoobyProtect!
Ikarus: BHO.Win32.Webalta
Fortinet: W32/Blackv
AVG: Win32:Malware-gen
Cybereason: malicious.1b8fb7
Panda: Trj/CI.A

lycys

运行后我的虚拟机崩溃了。。

猥琐大叔

浅暮、浅离

小蜘蛛！！！

lycys

文件名: victoria4.47b.exe
威胁名称: Trojan.Gen.2完整路径: c:\users\ly\desktop\victoria4.47b.exe

____________________________

____________________________


在电脑上 
2018/2/13 ( 14:34:10 )

上次使用时间 
2018/2/13 ( 14:34:10 )

启动项 
否

已启动 
否

威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________


victoria4.47b.exe 威胁名称: Trojan.Gen.2
定位


少量用户信任的文件
Norton 社区中有不到 100 名用户 使用了此文件。

发布已久的文件
该文件已在 9 个月 前发行。

高
此文件具有高风险。


____________________________


https://att.kafan.cn/forum.php?mo ... DkzNjl8MjExNTkxNw==
已下载文件 从 att.kafan.cn
来源: 外部介质


____________________________

文件操作

文件: c:\users\ly\desktop\ victoria4.47b.exe 已阻止
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

Dolby123

WD

Trojan:Win32/Bitrep.B

心醉咖啡

管家

1. 【扫描信息】
   
2. 
   
3. 开始时间:2018-2-13 18:58:45
   
4. 扫描用时:00:00:01
   
5. 扫描类型:指定位置杀毒
   
6. 扫描引擎:管家云查杀引擎 管家反病毒引擎 管家系统修复引擎
   
7. 扫描状态:扫描完成
   
8. 
   
9. 
   
10. 【扫描结果】
    
11. 
    
12. 扫描文件数:1
    
13. 发现风险数:1
    
14. 已处理风险数:1
    
15. 
    
16. 
    
17. ---------------------
    
18. 2018-2-13 18:58:48 MD5:7a89f29503b12d0644a57382f9afefdd F:\浏览器下载\victoria4.47b\victoria4.47b.exe [Win32.Hacktool.Generic.Ajlx]  [删除成功]
    
19. ---------------------
    

复制代码