#PACKAGE 0813

ther

NS占位

----------
下面测过了。。文件名: 0813(11).exe
威胁名称: SONAR.Heuristic.170完整路径: 不可用

____________________________

____________________________


在电脑上
2018/8/13 ( 20:18:40 )

上次使用时间
2018/8/13 ( 20:18:40 )

启动项
否

已启动
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


0813(11).exe 威胁名称: SONAR.Heuristic.170
定位


极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
7zG.exe

创建的文件:
0813(11).exe

____________________________

文件操作

文件: d:\360极速浏览器下载\package 0813\ 0813(11).exe 威胁已删除
文件: c:\users\ther1\ null 威胁已删除
文件: d:\360极速浏览器下载\ package 0813.zip 威胁已删除
文件: c:\windows\system32\tasks\ winxc26 威胁已删除
____________________________

注册表操作

注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ winxc26, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ {9C163AA6-3302-4819-88A7-A9316148922C}, 注册表配置单元: 64 位 威胁已删除
____________________________

系统设置操作

事件: 浏览器进程启动 (执行者 d:\360极速浏览器下载\package 0813\0813(11).exe, PID:10268) 未采取操作
事件: 进程启动: c:\Windows\microsoft.net\framework\v4.0.30319\ csc.exe, PID:9992 (执行者 d:\360极速浏览器下载\package 0813\0813(11).exe, PID:10268) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ schtasks.exe, PID:2944 (执行者 d:\360极速浏览器下载\package 0813\0813(11).exe, PID:10268) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ schtasks.exe, PID:1684 (执行者 d:\360极速浏览器下载\package 0813\0813(11).exe, PID:10268) 未采取操作
事件: PE 文件创建: c:\users\ther1\ null (执行者 d:\360极速浏览器下载\package 0813\0813(11).exe, PID:10268) 未采取操作
事件: 进程启动: d:\360极速浏览器下载\package 0813\ 0813(11).exe, PID:10268 (执行者 d:\360极速浏览器下载\package 0813\0813(11).exe, PID:10268) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
文件名: 0813(13).exe
威胁名称: SONAR.Heuristic.170完整路径: 不可用

____________________________

____________________________


在电脑上
2018/8/13 ( 20:18:40 )

上次使用时间
2018/8/13 ( 20:18:40 )

启动项
否

已启动
是

SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


0813(13).exe 威胁名称: SONAR.Heuristic.170
定位


极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
7zG.exe

创建的文件:
0813(13).exe

____________________________

文件操作

文件: d:\360极速浏览器下载\package 0813\ 0813(13).exe 需要重新启动
文件: c:\users\ther1\appdata\roaming\ linin.exe 威胁已删除
文件: c:\users\ther1\appdata\local\temp\ tumor.cab 威胁已删除
文件: c:\users\ther1\appdata\local\temp\ arx2kpmc_bigger.jpg 威胁已删除
文件: c:\users\ther1\appdata\local\temp\ fiubjipw_bigger.jpg 威胁已删除
文件: c:\users\ther1\appdata\local\temp\ -emkceau_bigger.jpg 威胁已删除
文件: c:\users\ther1\appdata\local\temp\ ydj13mqh_bigger.jpg 威胁已删除
文件: c:\users\ther1\appdata\local\temp\ 6pkrdun-_bigger.jpg 威胁已删除
文件: c:\users\ther1\appdata\local\temp\ f(5).txt 威胁已删除
事件: 正在运行进程: d:\360极速浏览器下载\package 0813\ 0813(13).exe 已终止
目录: c:\Users\ther1\AppData\Local\Temp\ nsx3FE3.tmp 需要重新启动
____________________________

系统设置操作

事件: 浏览器进程启动 (执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
(执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
事件: PE 文件创建: c:\Users\ther1\AppData\Local\Temp\ chewers.dll (执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
事件: PE 文件创建: c:\Users\ther1\AppData\Local\Temp\nsx3FE3.tmp\ System.dll (执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
事件: PE 文件创建: c:\users\ther1\appdata\roaming\ linin.exe (执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ msiexec.exe, PID:1764 (执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
事件: 进程启动: d:\360极速浏览器下载\package 0813\ 0813(13).exe, PID:2124 (执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
事件: 进程启动: d:\360极速浏览器下载\package 0813\ 0813(13).exe, PID:928 (执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
____________________________

可疑操作

事件: 尝试在进程地址空间内启动远程线程 (执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用23信誉杀一个dll
文件名: fat_x.dll
威胁名称: WS.Reputation.1完整路径: c:\users\ther1\appdata\roaming\3ec210f7ce5e78fd\fat_x.dll

____________________________

____________________________


在电脑上
2018/8/13 ( 20:31:53 )

上次使用时间
2018/8/13 ( 20:33:50 )

启动项
否

已启动
否

威胁类型: 智能网络威胁。 很多迹象表明此文件不可信任，不安全

____________________________


fat_x.dll 威胁名称: WS.Reputation.1
定位


极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

中
此文件具有中等程度风险。


____________________________


来源: 外部介质

源文件:
fat_x.dll

____________________________

文件操作

受感染文件: c:\users\ther1\appdata\roaming\3ec210f7ce5e78fd\ fat_x.dll 已修复
____________________________


文件指纹 - SHA:
0d147d4795eeca5efeef4af8911f3496916d66aec7ce04edf806f9681be8c44a
文件指纹 - MD5:
c7afb627a6f74b198a5dac506625b3b7

√×√×√√×

Tmh 发表于 2018-8-13 19:43
这就尴尬了，云端qvm居然有缓存

囧，一直都有缓存的啊 这是很早以前大家都知道的事，测数字卫士时须要注意的两点：1.云端QVM有缓存 2.不支持压缩包扫描 囧囧囧

cect258

ESET Internet Security  19:49
扫描 （26/28）92.85%
仅剩余0813（5）和0813（15）两个文件

心心相印

avira kill 27

BH2SUC

NS 19:40   27/28
扫描剩余11、13、23。

实机双击
SONAR击杀11、13。
23号运行报错。

20：00
SONAR开始疯狂回滚
下载智能分析搞掉了很多dll
貌似自己还被装了不知道哪来的VC库

20：03
Appdata下被强制安装了FireFox而且数签好像有问题，NS文件信誉显示所有dll和exe信誉良好。。。。。

275751198

Tmh 发表于 2018-8-13 19:18
确实反应很快
本来扫出21的，就是在19：15时候
然后过多3分钟就多出3个了

在很久以前的测试中，我发现其实卫士和杀毒QVM不是一个版本，云也不是同一朵。不知道现在是不是依然如此

Tmh

275751198 发表于 2018-8-13 19:52
在很久以前的测试中，我发现其实卫士和杀毒QVM不是一个版本，云也不是同一朵。不知道现在是不是依然如此

不过360TS和杀毒的qvm好像是一个版本的

Jerry.Lin

Tmh 发表于 2018-8-13 19:38
突发奇想，尝试了下断网的卫士
居然扫了19个，360有流式更新的吗
毕竟结合3楼这情况，断网后也能扫出来

是本地QVM的报法，不是缓存

云QVM报法为：HEUR.QVM.....
本地QVM报法为：QVM....

dreams521

小飞侠.net 发表于 2018-8-13 19:00
火绒安全---（ Windows 7 Ultimate with SP1 简体中文旗舰版....）：部分未知文件已发送到seclab@huorong.c ...

建议无需手动上报样本至厂商，便于其他人测试行为拦截，响应速度等

Jerry.Lin

编辑掉
眼花抱歉