搜索
查看: 1363|回复: 20
收起左侧

[可疑文件] Trojan/Win32.SchoolBoy

[复制链接]
安全守护者
发表于 2018-3-10 08:56:07 | 显示全部楼层 |阅读模式
  1. 文件检测评级:
  2. 高度风险
  3. 文件名称: sysdiag-all-4.0.52.4.exe
  4. 基本信息
  5. 文件名称:
  6. sysdiag-all-4.0.52.4.exe
  7. MD5: 9093c1b7b7f8be0ec42c64cb2c101801
  8. 文件类型: EXE
  9. 上传时间: 2018-03-10 08:45:30
  10. 出品公司: N/A
  11. 版本: 1.0.0.0
  12. 壳或编译器信息: PACKER:UPX V2.00-V3.00 -> Markus Oberhumer & Laszlo Molnar & John Reiser *
  13. 子文件信息: upx30_49a31d62dumpFile / 97322e3e74cb50b82afe1f100ca8bbde / EXE
  14. 关键行为
  15. 行为描述:添加新用户帐号
  16. 详情信息: ImagePath = C:\\WINDOWS\\system32\\net.exe, CmdLine = net user worm /add
  17. 进程行为
  18. 行为描述:隐藏窗口创建进程
  19. 详情信息: ImagePath = C:\\WINDOWS\\system32\\cmd.exe, CmdLine = "C:\\WINDOWS\\system32\\cmd.exe" /c
  20. ""C:\\Documents and Settings\\Administrator\\Local Settings\\Temp\\4.tmp\\5.tmp\\6.bat"
  21. "C:\\Documents and Settings\\Administrator\\Local Settings\\%temp%\\****.exe""
  22. 行为描述:创建进程
  23. 详情信息: [0x00000ae8]ImagePath = C:\\WINDOWS\\system32\\cmd.exe, CmdLine =
  24. "C:\\WINDOWS\\system32\\cmd.exe" /c ""C:\\Documents and Settings\\Administrator\\Local
  25. Settings\\Temp\\4.tmp\\5.tmp\\6.bat" "C:\\Documents and Settings\\Administrator\\Local
  26. Settings\\%temp%\\****.exe""
  27. [0x00000b28]ImagePath = C:\\WINDOWS\\system32\\net.exe, CmdLine = net share ipc$
  28. [0x00000b4c]ImagePath = C:\\WINDOWS\\system32\\net1.exe, CmdLine = net1 share ipc$
  29. [0x00000b60]ImagePath = C:\\WINDOWS\\system32\\net.exe, CmdLine = net share admin$
  30. [0x00000b80]ImagePath = C:\\WINDOWS\\system32\\net1.exe, CmdLine = net1 share admin$
  31. [0x00000b88]ImagePath = C:\\WINDOWS\\system32\\net.exe, CmdLine = net share C$=c:\\
  32. [0x00000b90]ImagePath = C:\\WINDOWS\\system32\\net1.exe, CmdLine = net1 share C$=c:\\
  33. [0x00000b98]ImagePath = C:\\WINDOWS\\system32\\net.exe, CmdLine = net share D$=d:\\
  34. [0x00000ba0]ImagePath = C:\\WINDOWS\\system32\\net1.exe, CmdLine = net1 share D$=d:\\
  35. [0x00000ba8]ImagePath = C:\\WINDOWS\\system32\\net.exe, CmdLine = net share E$=e:\\
  36. [0x00000bb0]ImagePath = C:\\WINDOWS\\system32\\net1.exe, CmdLine = net1 share E$=e:\\
  37. [0x00000bb8]ImagePath = C:\\WINDOWS\\system32\\net.exe, CmdLine = net share F$=f:\\
  38. [0x00000bc0]ImagePath = C:\\WINDOWS\\system32\\net1.exe, CmdLine = net1 share F$=f:\\
  39. 文件行为
  40. 行为描述:创建文件
  41. 详情信息: C:\\Documents and Settings\\Administrator\\Local Settings\\Temp\\4.tmp
  42. C:\\Documents and Settings\\Administrator\\Local Settings\\Temp\\4.tmp\\5.tmp
  43. C:\\Documents and Settings\\Administrator\\Local Settings\\Temp\\4.tmp\\5.tmp\\6.tmp
  44. C:\\Documents and Settings\\Administrator\\Local Settings\\Temp\\4.tmp\\5.tmp\\7.tmp
  45. C:\\Documents and Settings\\Administrator\\Local Settings\\Temp\\4.tmp\\5.tmp\\6.bat
  46. 行为描述:修改脚本文件
  47. 详情信息: C:\\Documents and Settings\\Administrator\\Local Settings\\Temp\\4.tmp\\5.tmp\\6.bat ---> Offset =
  48. 0
  49. 行为描述:删除文件
  50. 详情信息: C:\\Documents and Settings\\Administrator\\Local Settings\\Temp\\4.tmp
  51. C:\\Documents and Settings\\Administrator\\Local Settings\\Temp\\4.tmp\\5.tmp
  52. C:\\Documents and Settings\\Administrator\\Local Settings\\Temp\\4.tmp\\5.tmp\\6.tmp
  53. C:\\WINDOWS\\OEWABLog.txt
  54. C:\\WINDOWS\\setuplog.txt
  55. C:\\WINDOWS\\0.log
  56. C:\\WINDOWS\\bitssetup.log
  57. C:\\WINDOWS\\cmsetacl.log
  58. C:\\WINDOWS\\comsetup.log
  59. C:\\WINDOWS\\DtcInstall.log
  60. C:\\WINDOWS\\KB2412687.log
  61. C:\\WINDOWS\\msmqinst.log
  62. C:\\WINDOWS\\ntdtcsetup.log
  63. C:\\WINDOWS\\ocgen.log
  64. C:\\WINDOWS\\regopt.log
  65. 行为描述:查找文件
  66. 详情信息: FileName = C:\\DOCUME~1
  67. FileName = C:\\DOCUME~1\\ADMINI~1
  68. FileName = C:\\DOCUME~1\\ADMINI~1\\LOCALS~1
  69. FileName = C:\\DOCUME~1\\ADMINI~1\\LOCALS~1\\Temp
  70. FileName = C:\\Documents and Settings
  71. FileName = C:\\Documents and Settings\\Administrator
  72. FileName = C:\\Documents and Settings\\Administrator\\Local Settings
  73. FileName = C:\\WINDOWS\\system32\\cmd.*
  74. FileName = C:\\Documents and Settings\\Administrator\\My Documents
  75. FileName = C:\\Documents and Settings\\All Users
  76. FileName = C:\\Documents and Settings\\All Users\\Documents
  77. FileName = C:\\Documents and Settings\\Administrator\\桌面
  78. FileName = C:\\Documents and Settings\\All Users\\桌面
  79. FileName = C:\\WINDOWS
  80. FileName = C:\\WINDOWS\\system32
  81. 其他行为
  82. 行为描述:创建互斥体
  83. 详情信息: CTF.LBES.MutexDefaultS-*
  84. CTF.Compart.MutexDefaultS-*
  85. CTF.Asm.MutexDefaultS-*
  86. CTF.Layouts.MutexDefaultS-*
  87. CTF.TMD.MutexDefaultS-*
  88. CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
  89. Local\\ZonesCounterMutex
  90. Local\\ZoneAttributeCacheCounterMutex
  91. Local\\ZonesCacheCounterMutex
  92. Local\\ZonesLockedCacheCounterMutex
  93. 行为描述:创建事件对象
  94. 详情信息: EventName = DINPUTWINMM
  95. 行为描述:调整进程token权限
  96. 详情信息: SE_LOAD_DRIVER_PRIVILEGE
  97. 行为描述:打开事件
  98. 详情信息: HookSwitchHookEnabledEvent
  99. _fCanRegisterWithShellService
  100. \\SECURITY\\LSA_AUTHENTICATION_INITIALIZED
  101. Global\\SvcctrlStartEvent_A3752DX
  102. 行为描述:添加新用户帐号
  103. 详情信息: ImagePath = C:\\WINDOWS\\system32\\net.exe, CmdLine = net user worm /add
  104. 行为描述:调用Sleep函数
  105. 详情信息: [1]: MilliSeconds = 25.
  106. [2]: MilliSeconds = 25.
  107. [3]: MilliSeconds = 25.
  108. [4]: MilliSeconds = 25.
  109. [5]: MilliSeconds = 25.
  110. [6]: MilliSeconds = 25.
  111. [7]: MilliSeconds = 25.
  112. [8]: MilliSeconds = 25.
  113. [9]: MilliSeconds = 25.
  114. [10]: MilliSeconds = 25.
  115. 行为描述:打开互斥体
  116. 详情信息: Local\\!IETld!Mutex
  117. ShimCacheMutex
  118. Powered by TCPD F (www.tcpdf.org)
复制代码


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Dolby123
发表于 2018-3-10 09:13:04 | 显示全部楼层
WD

Trojan:Win32/Fuery.D!cl
猥琐大叔
发表于 2018-3-10 10:14:28 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
191196846
发表于 2018-3-10 10:35:33 | 显示全部楼层
Dolby123 发表于 2018-3-10 09:13
WD

Trojan:Win32/Fuery.D!cl

WD MISS ……




还有什么办法吗?DNS也换了……就是不报
wusiyuanjh
发表于 2018-3-10 10:39:55 | 显示全部楼层
卡巴扫描miss
x291502676
发表于 2018-3-10 10:44:16 | 显示全部楼层

双击也MISS,
Im_Zeus
发表于 2018-3-10 11:16:05 | 显示全部楼层
趋势miss
心醉咖啡
发表于 2018-3-10 11:47:50 | 显示全部楼层
管家未知
zst470396853
发表于 2018-3-10 12:24:16 | 显示全部楼层
360  kill
莒县小哥
发表于 2018-3-10 14:13:19 | 显示全部楼层

你解压后,上传到微云,再重新下载看看杀不。。。。。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2018-6-22 01:51 , Processed in 0.050767 second(s), 5 queries , MemCached On.

快速回复 返回顶部 返回列表