电脑上查出来的，这货是病毒吗

lovelive10010

https://share.weiyun.com/5ODzBdF基本信息

文件名称：	sih.0.9.9.9.exe
MD5：	874d3b5926358f33d426c52735048ca3
文件类型：	Autoit
上传时间：	2018-11-08 08:56:12
出品公司：	N/A
版本：	0.9.9.9---0.9.9.9
壳或编译器信息：	PACKER:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]
子文件信息：	[url=]详情[/url]

关键行为

行为描述：	获取TickCount值
详情信息：	TickCount = 229619, SleepMilliseconds = 10. TickCount = 229635, SleepMilliseconds = 10.

进程行为

行为描述：	创建本地线程
详情信息：	TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2784, ThreadID = 2808, StartAddress = 77DC845A, Parameter = 00000000 TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2784, ThreadID = 2824, StartAddress = 0044F5F9, Parameter = 01693010
行为描述：	枚举进程
详情信息：	N/A

文件行为

行为描述：	创建文件
详情信息：	C:\Documents and Settings\Administrator\Local Settings\Temp\aut6.tmp C:\Documents and Settings\Administrator\Local Settings\%temp%\peid.exe C:\Documents and Settings\Administrator\Local Settings\Temp\aut7.tmp C:\Documents and Settings\Administrator\Local Settings\%temp%\adware.txt C:\Documents and Settings\Administrator\Local Settings\Temp\aut8.tmp C:\Documents and Settings\Administrator\Local Settings\%temp%\blacklistprocesses.txt
行为描述：	创建可执行文件
详情信息：	C:\Documents and Settings\Administrator\Local Settings\Temp\aut6.tmp C:\Documents and Settings\Administrator\Local Settings\%temp%\peid.exe
行为描述：	覆盖已有文件
详情信息：	C:\Documents and Settings\Administrator\Local Settings\Temp\aut6.tmp C:\Documents and Settings\Administrator\Local Settings\Temp\aut7.tmp C:\Documents and Settings\Administrator\Local Settings\Temp\aut8.tmp
行为描述：	复制文件
详情信息：	C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aut6.tmp ---> peid.exe C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aut8.tmp ---> blacklistprocesses.txt
行为描述：	删除文件
详情信息：	C:\Documents and Settings\Administrator\Local Settings\Temp\aut6.tmp C:\Documents and Settings\Administrator\Local Settings\Temp\aut7.tmp C:\Documents and Settings\Administrator\Local Settings\Temp\aut8.tmp
行为描述：	查找文件
详情信息：	FileName = C:\Documents and Settings FileName = C:\Documents and Settings\Administrator FileName = C:\Documents and Settings\Administrator\Local Settings FileName = C:\Documents and Settings\Administrator\Local Settings\Temp FileName = C:\Documents and Settings\Administrator\Local Settings\%temp% FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe FileName = peid.exe FileName = adware.txt FileName = blacklistprocesses.txt
行为描述：	修改文件内容
详情信息：	C:\Documents and Settings\Administrator\Local Settings\Temp\aut6.tmp ---> Offset = 0 C:\Documents and Settings\Administrator\Local Settings\Temp\aut6.tmp ---> Offset = 65536 C:\Documents and Settings\Administrator\Local Settings\Temp\aut6.tmp ---> Offset = 131072 C:\Documents and Settings\Administrator\Local Settings\Temp\aut6.tmp ---> Offset = 196608 C:\Documents and Settings\Administrator\Local Settings\Temp\aut6.tmp ---> Offset = 217088 C:\Documents and Settings\Administrator\Local Settings\%temp%\peid.exe ---> Offset = 0 C:\Documents and Settings\Administrator\Local Settings\%temp%\peid.exe ---> Offset = 65536 C:\Documents and Settings\Administrator\Local Settings\%temp%\peid.exe ---> Offset = 131072 C:\Documents and Settings\Administrator\Local Settings\%temp%\peid.exe ---> Offset = 196608 C:\Documents and Settings\Administrator\Local Settings\Temp\aut7.tmp ---> Offset = 0 C:\Documents and Settings\Administrator\Local Settings\%temp%\adware.txt ---> Offset = 0 C:\Documents and Settings\Administrator\Local Settings\Temp\aut8.tmp ---> Offset = 0 C:\Documents and Settings\Administrator\Local Settings\%temp%\blacklistprocesses.txt ---> Offset = 0

其他行为

行为描述：	检测自身是否被调试
详情信息：	IsDebuggerPresent
行为描述：	创建互斥体
详情信息：	CTF.LBES.MutexDefaultS-* CTF.Compart.MutexDefaultS-* CTF.Asm.MutexDefaultS-* CTF.Layouts.MutexDefaultS-* CTF.TMD.MutexDefaultS-* CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-* MSCTF.Shared.MUTEX.IOH MSCTF.Shared.MUTEX.EOK
行为描述：	创建事件对象
详情信息：	EventName = Global\userenv: User Profile setup event EventName = DINPUTWINMM EventName = MSCTF.SendReceive.Event.EOK.IC EventName = MSCTF.SendReceiveConection.Event.EOK.IC
行为描述：	打开事件
详情信息：	HookSwitchHookEnabledEvent _fCanRegisterWithShellService CTF.ThreadMIConnectionEvent.000007E8.00000000.00000010 CTF.ThreadMarshalInterfaceEvent.000007E8.00000000.00000010 MSCTF.SendReceiveConection.Event.IOH.IC MSCTF.SendReceive.Event.IOH.IC
行为描述：	查找指定窗口
详情信息：	NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,] NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
行为描述：	枚举窗口
详情信息：	N/A
行为描述：	获取TickCount值
详情信息：	TickCount = 229619, SleepMilliseconds = 10. TickCount = 229635, SleepMilliseconds = 10.
行为描述：	调整进程token权限
详情信息：	SE_LOAD_DRIVER_PRIVILEGE
行为描述：	窗口信息
详情信息：	Pid = 2784, Hwnd=0x1034a, Text = 开始, ClassName = Button. Pid = 2784, Hwnd=0x1034c, Text = 安装总时间, ClassName = Button(GroupBox). Pid = 2784, Hwnd=0x1034e, Text = 该文件夹中安装 (Inno Setup,NSIS,Smart Installer,7z\RAR SFX\Free Arc):, ClassName = Button(CheckBox). Pid = 2784, Hwnd=0x10350, Text = D:, ClassName = Edit. Pid = 2784, Hwnd=0x10352, Text = ..., ClassName = Button. Pid = 2784, Hwnd=0x10354, Text = 打开, ClassName = Button. Pid = 2784, Hwnd=0x10356, Text = 当完成:, ClassName = Static. Pid = 2784, Hwnd=0x10358, Text = 显示信息, ClassName = ComboBox. Pid = 2784, Hwnd=0x1035c, Text = 00:00:00, ClassName = Static. Pid = 2784, Hwnd=0x10362, Text = 自动关闭进程:, ClassName = Button(CheckBox). Pid = 2784, Hwnd=0x10364, Text = 自动关闭窗口, ClassName = Button(CheckBox). Pid = 2784, Hwnd=0x10366, Text = 添加窗口或程序中对应列出阻止安装你不需要的软件 添加的窗口和程序会自动在安装过程中被关闭。, ClassName = Static. Pid = 2784, Hwnd=0x10368, Text = 进程:, ClassName = Static. Pid = 2784, Hwnd=0x1036a, Text = 窗口, ClassName = Static. Pid = 2784, Hwnd=0x1036c, Text = >, ClassName = Button.
行为描述：	可执行文件签名信息
详情信息：	C:\Documents and Settings\Administrator\Local Settings\Temp\aut6.tmp(签名验证: 未通过) C:\Documents and Settings\Administrator\Local Settings\%temp%\peid.exe(签名验证: 未通过)
行为描述：	调用Sleep函数
详情信息：	[1]: MilliSeconds = 0. [2]: MilliSeconds = 0. [3]: MilliSeconds = 0. [4]: MilliSeconds = 0. [5]: MilliSeconds = 0. [6]: MilliSeconds = 0. [7]: MilliSeconds = 0. [8]: MilliSeconds = 0. [9]: MilliSeconds = 0. [10]: MilliSeconds = 0.
行为描述：	隐藏指定窗口
详情信息：	[Window,Class] = [AutoIt v3,AutoIt v3] [Window,Class] = [,SysListView32] [Window,Class] = [开始,Button] [Window,Class] = [安装总时间,Button] [Window,Class] = [该文件夹中安装 (Inno Setup,NSIS,Smart Installer,7z\RAR SFX\Free Arc):,Button] [Window,Class] = [D:,Edit] [Window,Class] = [...,Button] [Window,Class] = [打开,Button] [Window,Class] = [当完成:,Static] [Window,Class] = [,ComboLBox] [Window,Class] = [,ComboBox] [Window,Class] = [00:00:00,Static] [Window,Class] = [,msctls_progress32] [Window,Class] = [自动关闭进程:,Button] [Window,Class] = [自动关闭窗口,Button]
行为描述：	获取光标位置
详情信息：	CursorPos = (80,18468), SleepMilliseconds = 10. CursorPos = (6373,26501), SleepMilliseconds = 10. CursorPos = (19208,15725), SleepMilliseconds = 10. CursorPos = (11517,29359), SleepMilliseconds = 10. CursorPos = (27001,24465), SleepMilliseconds = 10. CursorPos = (5744,28146), SleepMilliseconds = 10. CursorPos = (23320,16828), SleepMilliseconds = 10. CursorPos = (10000,492), SleepMilliseconds = 10. CursorPos = (3034,11943), SleepMilliseconds = 10. CursorPos = (4866,5437), SleepMilliseconds = 10. CursorPos = (32430,14605), SleepMilliseconds = 10. CursorPos = (3941,154), SleepMilliseconds = 10. CursorPos = (331,12383), SleepMilliseconds = 10. CursorPos = (17460,18717), SleepMilliseconds = 10. CursorPos = (19757,19896), SleepMilliseconds = 10.
行为描述：	可执行文件MD5
详情信息：	C:\Documents and Settings\Administrator\Local Settings\Temp\aut6.tmp ---> 4b5289d1dbd727c5dd0e247a7d7db03e C:\Documents and Settings\Administrator\Local Settings\%temp%\peid.exe ---> 4b5289d1dbd727c5dd0e247a7d7db03e
行为描述：	打开互斥体
详情信息：	ShimCacheMutex

进程树

• [url=]****.exe (PID: 0x00000ae0)[/url]
  

天道酬善

eset

1. 日志
   
2. 正在扫描日志
   
3. 检测引擎的版本: 18345P (20181107)
   
4. 日期: 2018-11-08  时间: 9:02:49
   
5. 已扫描的磁盘、文件夹和文件: D:\样本\sih.0.9.9.9.zip
   
6. 已扫描的对象数: 2
   
7. 发现的威胁数: 0
   
8. 完成时间: 9:02:49  总扫描时间: 0 秒 (00:00:00)
   

复制代码

桑德尔

怎么我下载下来的附件只有4K？

lovelive10010

桑德尔 发表于 2018-11-8 09:17
怎么我下载下来的附件只有4K？

https://share.weiyun.com/5ODzBdF
这样应该可以了

Luca.l

WD

zghnsy127

木马下载者？等大神测吧

桑德尔

lovelive10010 发表于 2018-11-8 09:23
https://share.weiyun.com/5ODzBdF
这样应该可以了

文件名: sih.0.9.9.9.exe
威胁名称: Heur.AdvML.C完整路径: C:\Users\Administrator\Desktop\密码123\sih.0.9.9.9.exe

____________________________

____________________________


在电脑上
2018/11/8 ( 10:43:18 )

上次使用时间
2018/11/8 ( 10:45:18 )

启动项
否

已启动
否

威胁类型: 启发式病毒。 根据恶意软件启发式技术检测威胁。

____________________________


sih.0.9.9.9.exe 威胁名称: Heur.AdvML.C
定位


少量用户信任的文件
Norton 社区中有不到 50 名用户 使用了此文件。

发布已久的文件
该文件已在 3 年 4 个月 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
sih.0.9.9.9.exe

____________________________

文件操作

文件: C:\Users\Administrator\Desktop\密码123\ sih.0.9.9.9.exe 已删除
____________________________


文件指纹 - SHA:
9a3aabf8cf37c27f5bef73b53fad6781491b5ce62d68669928a102b7828a34da
文件指纹 - MD5:
874d3b5926358f33d426c52735048ca3


文件名: sih.0.9.9.9.exe
威胁名称: Trojan.Gen.6完整路径: C:\Users\Administrator\Desktop\密码123\sih.0.9.9.9.exe

____________________________

____________________________


在电脑上
2018/11/8 ( 10:43:18 )

上次使用时间
2018/11/8 ( 10:45:18 )

启动项
否

已启动
否

威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________


sih.0.9.9.9.exe 威胁名称: Trojan.Gen.6
定位


少量用户信任的文件
Norton 社区中有不到 50 名用户 使用了此文件。

发布已久的文件
该文件已在 3 年 4 个月 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
sih.0.9.9.9.exe

____________________________

文件操作

文件: C:\Users\Administrator\Desktop\密码123\ sih.0.9.9.9.exe 已删除
____________________________


文件指纹 - SHA:
9a3aabf8cf37c27f5bef73b53fad6781491b5ce62d68669928a102b7828a34da
文件指纹 - MD5:
874d3b5926358f33d426c52735048ca3

www-tekeze

火绒、智量均不报，已上传智量。

www-tekeze

www-tekeze 发表于 2018-11-8 11:04
火绒、智量均不报，已上传智量。

大眼仔旭的汉化版而已，双击后生成三个文件，火绒、智量仍不报，估计没什么问题。

不会联网，没触发火绒的任何系统加固项。。。把这个新生成的peid.exe传上来，大家可以试试。

www-tekeze

www-tekeze 发表于 2018-11-8 11:19
大眼仔旭的汉化版而已，双击后生成三个文件，火绒、智量仍不报，相信没什么问题。

不会联网，没触发火 ...

微步云沙箱给的结论是“经检测该文件为安全”，但行为有4项高危、8项可疑。

看看火绒会不会入库吧。。。

https://s.threatbook.cn/report/file/9a3aabf8cf37c27f5bef73b53fad6781491b5ce62d68669928a102b7828a34da/?env=win7_sp1_enx86_office2013