楼主: Jerry.Lin
收起左侧

[病毒样本] #PACKAGE 0813

  [复制链接]
ther
发表于 2018-8-13 19:45:34 | 显示全部楼层
本帖最后由 ther 于 2018-8-14 08:58 编辑

NS占位

----------
下面测过了。。文件名: 0813(11).exe
威胁名称: SONAR.Heuristic.170完整路径: 不可用

____________________________

____________________________


在电脑上
2018/8/13 ( 20:18:40 )

上次使用时间
2018/8/13 ( 20:18:40 )

启动项


已启动


SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


0813(11).exe 威胁名称: SONAR.Heuristic.170
定位


极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有高风险。


____________________________


来源: 外部介质

源文件:
7zG.exe

创建的文件:
0813(11).exe

____________________________

文件操作

文件: d:\360极速浏览器下载\package 0813\ 0813(11).exe 威胁已删除
文件: c:\users\ther1\ null 威胁已删除
文件: d:\360极速浏览器下载\ package 0813.zip 威胁已删除
文件: c:\windows\system32\tasks\ winxc26 威胁已删除
____________________________

注册表操作

注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tree\ winxc26, 注册表配置单元: 64 位 威胁已删除
注册表更改: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Schedule\TaskCache\Tasks\ {9C163AA6-3302-4819-88A7-A9316148922C}, 注册表配置单元: 64 位 威胁已删除
____________________________

系统设置操作

事件: 浏览器进程启动 (执行者 d:\360极速浏览器下载\package 0813\0813(11).exe, PID:10268) 未采取操作
事件: 进程启动: c:\Windows\microsoft.net\framework\v4.0.30319\ csc.exe, PID:9992 (执行者 d:\360极速浏览器下载\package 0813\0813(11).exe, PID:10268) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ schtasks.exe, PID:2944 (执行者 d:\360极速浏览器下载\package 0813\0813(11).exe, PID:10268) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ schtasks.exe, PID:1684 (执行者 d:\360极速浏览器下载\package 0813\0813(11).exe, PID:10268) 未采取操作
事件: PE 文件创建: c:\users\ther1\ null (执行者 d:\360极速浏览器下载\package 0813\0813(11).exe, PID:10268) 未采取操作
事件: 进程启动: d:\360极速浏览器下载\package 0813\ 0813(11).exe, PID:10268 (执行者 d:\360极速浏览器下载\package 0813\0813(11).exe, PID:10268) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
文件名: 0813(13).exe
威胁名称: SONAR.Heuristic.170完整路径: 不可用

____________________________

____________________________


在电脑上
2018/8/13 ( 20:18:40 )

上次使用时间
2018/8/13 ( 20:18:40 )

启动项


已启动


SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


0813(13).exe 威胁名称: SONAR.Heuristic.170
定位


极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有高风险。


____________________________


来源: 外部介质

源文件:
7zG.exe

创建的文件:
0813(13).exe

____________________________

文件操作

文件: d:\360极速浏览器下载\package 0813\ 0813(13).exe 需要重新启动
文件: c:\users\ther1\appdata\roaming\ linin.exe 威胁已删除
文件: c:\users\ther1\appdata\local\temp\ tumor.cab 威胁已删除
文件: c:\users\ther1\appdata\local\temp\ arx2kpmc_bigger.jpg 威胁已删除
文件: c:\users\ther1\appdata\local\temp\ fiubjipw_bigger.jpg 威胁已删除
文件: c:\users\ther1\appdata\local\temp\ -emkceau_bigger.jpg 威胁已删除
文件: c:\users\ther1\appdata\local\temp\ ydj13mqh_bigger.jpg 威胁已删除
文件: c:\users\ther1\appdata\local\temp\ 6pkrdun-_bigger.jpg 威胁已删除
文件: c:\users\ther1\appdata\local\temp\ f(5).txt 威胁已删除
事件: 正在运行进程: d:\360极速浏览器下载\package 0813\ 0813(13).exe 已终止
目录: c:\Users\ther1\AppData\Local\Temp\ nsx3FE3.tmp 需要重新启动
____________________________

系统设置操作

事件: 浏览器进程启动 (执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
(执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
事件: PE 文件创建: c:\Users\ther1\AppData\Local\Temp\ chewers.dll (执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
事件: PE 文件创建: c:\Users\ther1\AppData\Local\Temp\nsx3FE3.tmp\ System.dll (执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
事件: PE 文件创建: c:\users\ther1\appdata\roaming\ linin.exe (执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ msiexec.exe, PID:1764 (执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
事件: 进程启动: d:\360极速浏览器下载\package 0813\ 0813(13).exe, PID:2124 (执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
事件: 进程启动: d:\360极速浏览器下载\package 0813\ 0813(13).exe, PID:928 (执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
____________________________

可疑操作

事件: 尝试在进程地址空间内启动远程线程 (执行者 d:\360极速浏览器下载\package 0813\0813(13).exe, PID:928) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用23信誉杀一个dll
文件名: fat_x.dll
威胁名称: WS.Reputation.1完整路径: c:\users\ther1\appdata\roaming\3ec210f7ce5e78fd\fat_x.dll

____________________________

____________________________


在电脑上
2018/8/13 ( 20:31:53 )

上次使用时间
2018/8/13 ( 20:33:50 )

启动项


已启动


威胁类型: 智能网络威胁。 很多迹象表明此文件不可信任,不安全

____________________________


fat_x.dll 威胁名称: WS.Reputation.1
定位


极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有中等程度风险。


____________________________


来源: 外部介质

源文件:
fat_x.dll

____________________________

文件操作

受感染文件: c:\users\ther1\appdata\roaming\3ec210f7ce5e78fd\ fat_x.dll 已修复
____________________________


文件指纹 - SHA:
0d147d4795eeca5efeef4af8911f3496916d66aec7ce04edf806f9681be8c44a
文件指纹 - MD5:
c7afb627a6f74b198a5dac506625b3b7








√×√×√√×
发表于 2018-8-13 19:47:57 | 显示全部楼层
Tmh 发表于 2018-8-13 19:43
这就尴尬了,云端qvm居然有缓存

囧,一直都有缓存的啊 这是很早以前大家都知道的事,测数字卫士时须要注意的两点:1.云端QVM有缓存 2.不支持压缩包扫描 囧囧囧
cect258
发表于 2018-8-13 19:49:20 | 显示全部楼层
ESET Internet Security  19:49
扫描 (26/28)92.85%
仅剩余0813(5)和0813(15)两个文件
心心相印
发表于 2018-8-13 19:49:47 | 显示全部楼层
avira kill 27
BH2SUC
发表于 2018-8-13 19:51:27 | 显示全部楼层
本帖最后由 BH2SUC 于 2018-8-13 20:04 编辑

NS 19:40   27/28
扫描剩余11、13、23。

实机双击
SONAR击杀11、13。
23号运行报错。

20:00
SONAR开始疯狂回滚
下载智能分析搞掉了很多dll
貌似自己还被装了不知道哪来的VC库

20:03
Appdata下被强制安装了FireFox而且数签好像有问题,NS文件信誉显示所有dll和exe信誉良好。。。。。

275751198
发表于 2018-8-13 19:52:41 | 显示全部楼层
Tmh 发表于 2018-8-13 19:18
确实反应很快
本来扫出21的,就是在19:15时候
然后过多3分钟就多出3个了

在很久以前的测试中,我发现其实卫士和杀毒QVM不是一个版本,云也不是同一朵。不知道现在是不是依然如此
Tmh
发表于 2018-8-13 19:54:29 | 显示全部楼层
275751198 发表于 2018-8-13 19:52
在很久以前的测试中,我发现其实卫士和杀毒QVM不是一个版本,云也不是同一朵。不知道现在是不是依然如此

不过360TS和杀毒的qvm好像是一个版本的
Jerry.Lin
 楼主| 发表于 2018-8-13 20:18:01 | 显示全部楼层
Tmh 发表于 2018-8-13 19:38
突发奇想,尝试了下断网的卫士
居然扫了19个,360有流式更新的吗
毕竟结合3楼这情况,断网后也能扫出来

是本地QVM的报法,不是缓存

云QVM报法为:HEUR.QVM.....
本地QVM报法为:QVM....
dreams521
发表于 2018-8-13 20:19:39 | 显示全部楼层
小飞侠.net 发表于 2018-8-13 19:00
火绒安全---( Windows 7 Ultimate with SP1 简体中文旗舰版....):部分未知文件已发送到seclab@huorong.c ...

建议无需手动上报样本至厂商,便于其他人测试行为拦截,响应速度等
Jerry.Lin
 楼主| 发表于 2018-8-13 20:38:24 | 显示全部楼层
本帖最后由 191196846 于 2018-8-13 20:58 编辑

编辑掉
眼花抱歉
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 08:09 , Processed in 0.111618 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表