搜索
查看: 422|回复: 9
收起左侧

[可疑文件] 求分析

[复制链接]
引领四基生活
发表于 2018-2-13 13:35:39 | 显示全部楼层 |阅读模式
密码123


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
断簪
发表于 2018-2-13 13:42:45 | 显示全部楼层
本帖最后由 断簪 于 2018-2-13 13:52 编辑
此文件存在危险,因此 Cent Browser 已将其拦截。
检测到的对象 ( 文件 ) 已删除;
G:\Downloads\victoria4.47b\victoria4.47b.exe;
UDS:Packed.Win32.Blackv.gen;木马程序;

lycys
发表于 2018-2-13 13:47:53 | 显示全部楼层
360击杀,这东西要加驱
xiaoliang38
发表于 2018-2-13 13:48:07 | 显示全部楼层
应该是病毒!
创建RWX内存

强制将一个创建的进程加载为另一个不相关进程的子进程

装载一个驱动器
driver service name: \Registry\Machine\System\CurrentControlSet\Services\PortTalk
从文件自身的二进制镜像中读取数据
self_read: process: victoria4.47b.exe, pid: 2036, offset: 0x00000000, length: 0x0000df26
self_read: process: victoria4.47b.exe, pid: 2036, offset: 0x00000000, length: 0x00010000
self_read: process: victoria4.47b.exe, pid: 2036, offset: 0x00000000, length: 0x001000e1
self_read: process: victoria4.47b.exe, pid: 2036, offset: 0x0000cf89, length: 0x00176ad2
投放出一个二进制文件并执行它
binary: C:\Users\test\AppData\Local\Temp\7ZipSfx.000\vcr447.exe
二进制源中出现非常规语言: Russian

二进制文件可能包含加密或压缩数据
section: name: UPX1, entropy: 7.90, characteristics: IMAGE_SCN_CNT_INITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE, raw_size: 0x0000b400, virtual_size: 0x0000c000
可执行文件被使用UPX压缩
section: name: UPX0, entropy: 0.00, characteristics: IMAGE_SCN_CNT_UNINITIALIZED_DATA|IMAGE_SCN_MEM_EXECUTE|IMAGE_SCN_MEM_READ|IMAGE_SCN_MEM_WRITE, raw_size: 0x00000000, virtual_size: 0x00011000
文件已被至少十个VirusTotal上的反病毒引擎检测为病毒
MicroWorld-eScan: Trojan.GenericKD.5013099
CAT-QuickHeal: Trojan.Blackv
McAfee: Artemis!7A89F29503B1
Cylance: Unsafe
K7GW: Trojan ( 004b933f1 )
K7AntiVirus: Trojan ( 004b933f1 )
Cyren: W32/Trojan.FBKJ-5812
Symantec: Trojan.Gen.2
ESET-NOD32: a variant of Win32/Packed.NoobyProtect.Q suspicious
TrendMicro-HouseCall: TROJ_GEN.R005C0OLA17
Paloalto: generic.ml
GData: Trojan.GenericKD.5013099
Kaspersky: HEUR:HackTool.Win32.Generic
BitDefender: Trojan.GenericKD.5013099
NANO-Antivirus: Trojan.Win32.Blackv.eoeecq
Avast: Win32:Malware-gen
Tencent: Win32.Hacktool.Generic.Ajlx
Ad-Aware: Trojan.GenericKD.5013099
Emsisoft: Trojan.GenericKD.5013099 (B)
F-Secure: Trojan.GenericKD.5013099
DrWeb: Trojan.MulDrop7.32001
VIPRE: Trojan.Win32.Generic!BT
Invincea: heuristic
McAfee-GW-Edition: BehavesLike.Win32.Dropper.tc
Avira: TR/PWS.Sinowal.Gen
Antiy-AVL: Trojan[Packed]/Win32.Blackv
Endgame: malicious (moderate confidence)
Arcabit: Trojan.Generic.D4C7E6B
AegisLab: Packer.W32.Blackv!c
ZoneAlarm: HEUR:HackTool.Win32.Generic
Sophos: Mal/Generic-S
AhnLab-V3: Malware/Win32.Generic.C1926070
ALYac: Trojan.GenericKD.5013099
AVware: Trojan.Win32.Generic!BT
MAX: malware (ai score=85)
Yandex: Riskware.NoobyProtect!
Ikarus: BHO.Win32.Webalta
Fortinet: W32/Blackv
AVG: Win32:Malware-gen
Cybereason: malicious.1b8fb7
Panda: Trj/CI.A
lycys
发表于 2018-2-13 13:55:06 | 显示全部楼层
运行后我的虚拟机崩溃了。。
猥琐大叔
发表于 2018-2-13 13:58:51 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
阿童木来了
发表于 2018-2-13 14:09:46 | 显示全部楼层
小蜘蛛!!!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
lycys
发表于 2018-2-13 14:34:30 | 显示全部楼层
文件名: victoria4.47b.exe
威胁名称: Trojan.Gen.2完整路径: c:\users\ly\desktop\victoria4.47b.exe

____________________________

____________________________


在电脑上 
2018/2/13 ( 14:34:10 )

上次使用时间 
2018/2/13 ( 14:34:10 )

启动项 


已启动 


威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________


victoria4.47b.exe 威胁名称: Trojan.Gen.2
定位


少量用户信任的文件
Norton 社区中有不到 100 名用户 使用了此文件。

发布已久的文件
该文件已在 9 个月 前发行。


此文件具有高风险。


____________________________


http://att.kafan.cn/forum.php?mo ... DkzNjl8MjExNTkxNw==
已下载文件 从 att.kafan.cn
来源: 外部介质


____________________________

文件操作

文件: c:\users\ly\desktop\ victoria4.47b.exe 已阻止
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
Dolby123
发表于 2018-2-13 16:54:55 | 显示全部楼层
WD

Trojan:Win32/Bitrep.B
心醉咖啡
发表于 2018-2-13 18:59:13 | 显示全部楼层
管家

  1. 【扫描信息】

  2. 开始时间:2018-2-13 18:58:45
  3. 扫描用时:00:00:01
  4. 扫描类型:指定位置杀毒
  5. 扫描引擎:管家云查杀引擎 管家反病毒引擎 管家系统修复引擎
  6. 扫描状态:扫描完成


  7. 【扫描结果】

  8. 扫描文件数:1
  9. 发现风险数:1
  10. 已处理风险数:1


  11. ---------------------
  12. 2018-2-13 18:58:48 MD5:7a89f29503b12d0644a57382f9afefdd F:\浏览器下载\victoria4.47b\victoria4.47b.exe [Win32.Hacktool.Generic.Ajlx]  [删除成功]
  13. ---------------------
复制代码
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2018-2-23 22:14 , Processed in 0.118959 second(s), 20 queries .

快速回复 返回顶部 返回列表