搜索
查看: 1191|回复: 22
收起左侧

[可疑文件] 电脑上查出来的,这货是病毒吗

[复制链接]
lovelive10010
发表于 5 天前 | 显示全部楼层 |阅读模式
本帖最后由 lovelive10010 于 2018-11-8 09:26 编辑

https://share.weiyun.com/5ODzBdF基本信息
文件名称:
sih.0.9.9.9.exe
MD5:874d3b5926358f33d426c52735048ca3
文件类型:Autoit
上传时间:2018-11-08 08:56:12
出品公司:N/A
版本:0.9.9.9---0.9.9.9
壳或编译器信息:PACKER:UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]
子文件信息:[url=]详情[/url]


关键行为
行为描述:获取TickCount值
详情信息:
TickCount = 229619, SleepMilliseconds = 10.
TickCount = 229635, SleepMilliseconds = 10.


进程行为
行为描述:创建本地线程
详情信息:
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2784, ThreadID = 2808, StartAddress = 77DC845A, Parameter = 00000000
TargetProcess: %temp%\****.exe, InheritedFromPID = 2000, ProcessID = 2784, ThreadID = 2824, StartAddress = 0044F5F9, Parameter = 01693010
行为描述:枚举进程
详情信息:
N/A


文件行为
行为描述:创建文件
详情信息:
C:\Documents and Settings\Administrator\Local Settings\Temp\aut6.tmp
C:\Documents and Settings\Administrator\Local Settings\%temp%\peid.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\aut7.tmp
C:\Documents and Settings\Administrator\Local Settings\%temp%\adware.txt
C:\Documents and Settings\Administrator\Local Settings\Temp\aut8.tmp
C:\Documents and Settings\Administrator\Local Settings\%temp%\blacklistprocesses.txt
行为描述:创建可执行文件
详情信息:
C:\Documents and Settings\Administrator\Local Settings\Temp\aut6.tmp
C:\Documents and Settings\Administrator\Local Settings\%temp%\peid.exe
行为描述:覆盖已有文件
详情信息:
C:\Documents and Settings\Administrator\Local Settings\Temp\aut6.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\aut7.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\aut8.tmp
行为描述:复制文件
详情信息:
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aut6.tmp ---> peid.exe
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\aut8.tmp ---> blacklistprocesses.txt
行为描述:删除文件
详情信息:
C:\Documents and Settings\Administrator\Local Settings\Temp\aut6.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\aut7.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\aut8.tmp
行为描述:查找文件
详情信息:
FileName = C:\Documents and Settings
FileName = C:\Documents and Settings\Administrator
FileName = C:\Documents and Settings\Administrator\Local Settings
FileName = C:\Documents and Settings\Administrator\Local Settings\Temp
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe
FileName = peid.exe
FileName = adware.txt
FileName = blacklistprocesses.txt
行为描述:修改文件内容
详情信息:
C:\Documents and Settings\Administrator\Local Settings\Temp\aut6.tmp ---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\Temp\aut6.tmp ---> Offset = 65536
C:\Documents and Settings\Administrator\Local Settings\Temp\aut6.tmp ---> Offset = 131072
C:\Documents and Settings\Administrator\Local Settings\Temp\aut6.tmp ---> Offset = 196608
C:\Documents and Settings\Administrator\Local Settings\Temp\aut6.tmp ---> Offset = 217088
C:\Documents and Settings\Administrator\Local Settings\%temp%\peid.exe ---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\%temp%\peid.exe ---> Offset = 65536
C:\Documents and Settings\Administrator\Local Settings\%temp%\peid.exe ---> Offset = 131072
C:\Documents and Settings\Administrator\Local Settings\%temp%\peid.exe ---> Offset = 196608
C:\Documents and Settings\Administrator\Local Settings\Temp\aut7.tmp ---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\%temp%\adware.txt ---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\Temp\aut8.tmp ---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\%temp%\blacklistprocesses.txt ---> Offset = 0


其他行为
行为描述:检测自身是否被调试
详情信息:
IsDebuggerPresent
行为描述:创建互斥体
详情信息:
CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
MSCTF.Shared.MUTEX.IOH
MSCTF.Shared.MUTEX.EOK
行为描述:创建事件对象
详情信息:
EventName = Global\userenv: User Profile setup event
EventName = DINPUTWINMM
EventName = MSCTF.SendReceive.Event.EOK.IC
EventName = MSCTF.SendReceiveConection.Event.EOK.IC
行为描述:打开事件
详情信息:
HookSwitchHookEnabledEvent
_fCanRegisterWithShellService
CTF.ThreadMIConnectionEvent.000007E8.00000000.00000010
CTF.ThreadMarshalInterfaceEvent.000007E8.00000000.00000010
MSCTF.SendReceiveConection.Event.IOH.IC
MSCTF.SendReceive.Event.IOH.IC
行为描述:查找指定窗口
详情信息:
NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
NtUserFindWindowEx: [Class,Window] = [CicLoaderWndClass,]
行为描述:枚举窗口
详情信息:
N/A
行为描述:获取TickCount值
详情信息:
TickCount = 229619, SleepMilliseconds = 10.
TickCount = 229635, SleepMilliseconds = 10.
行为描述:调整进程token权限
详情信息:
SE_LOAD_DRIVER_PRIVILEGE
行为描述:窗口信息
详情信息:
Pid = 2784, Hwnd=0x1034a, Text = 开始, ClassName = Button.
Pid = 2784, Hwnd=0x1034c, Text = 安装总时间, ClassName = Button(GroupBox).
Pid = 2784, Hwnd=0x1034e, Text = 该文件夹中安装 (Inno Setup,NSIS,Smart Installer,7z\RAR SFX\Free Arc):, ClassName = Button(CheckBox).
Pid = 2784, Hwnd=0x10350, Text = D:, ClassName = Edit.
Pid = 2784, Hwnd=0x10352, Text = ..., ClassName = Button.
Pid = 2784, Hwnd=0x10354, Text = 打开, ClassName = Button.
Pid = 2784, Hwnd=0x10356, Text = 当完成:, ClassName = Static.
Pid = 2784, Hwnd=0x10358, Text = 显示信息, ClassName = ComboBox.
Pid = 2784, Hwnd=0x1035c, Text = 00:00:00, ClassName = Static.
Pid = 2784, Hwnd=0x10362, Text = 自动关闭进程:, ClassName = Button(CheckBox).
Pid = 2784, Hwnd=0x10364, Text = 自动关闭窗口, ClassName = Button(CheckBox).
Pid = 2784, Hwnd=0x10366, Text = 添加窗口或程序中对应列出阻止安装你不需要的软件 添加的窗口和程序会自动在安装过程中被关闭。, ClassName = Static.
Pid = 2784, Hwnd=0x10368, Text = 进程:, ClassName = Static.
Pid = 2784, Hwnd=0x1036a, Text = 窗口, ClassName = Static.
Pid = 2784, Hwnd=0x1036c, Text = >, ClassName = Button.
行为描述:可执行文件签名信息
详情信息:
C:\Documents and Settings\Administrator\Local Settings\Temp\aut6.tmp(签名验证: 未通过)
C:\Documents and Settings\Administrator\Local Settings\%temp%\peid.exe(签名验证: 未通过)
行为描述:调用Sleep函数
详情信息:
[1]: MilliSeconds = 0.
[2]: MilliSeconds = 0.
[3]: MilliSeconds = 0.
[4]: MilliSeconds = 0.
[5]: MilliSeconds = 0.
[6]: MilliSeconds = 0.
[7]: MilliSeconds = 0.
[8]: MilliSeconds = 0.
[9]: MilliSeconds = 0.
[10]: MilliSeconds = 0.
行为描述:隐藏指定窗口
详情信息:
[Window,Class] = [AutoIt v3,AutoIt v3]
[Window,Class] = [,SysListView32]
[Window,Class] = [开始,Button]
[Window,Class] = [安装总时间,Button]
[Window,Class] = [该文件夹中安装 (Inno Setup,NSIS,Smart Installer,7z\RAR SFX\Free Arc):,Button]
[Window,Class] = [D:,Edit]
[Window,Class] = [...,Button]
[Window,Class] = [打开,Button]
[Window,Class] = [当完成:,Static]
[Window,Class] = [,ComboLBox]
[Window,Class] = [,ComboBox]
[Window,Class] = [00:00:00,Static]
[Window,Class] = [,msctls_progress32]
[Window,Class] = [自动关闭进程:,Button]
[Window,Class] = [自动关闭窗口,Button]
行为描述:获取光标位置
详情信息:
CursorPos = (80,18468), SleepMilliseconds = 10.
CursorPos = (6373,26501), SleepMilliseconds = 10.
CursorPos = (19208,15725), SleepMilliseconds = 10.
CursorPos = (11517,29359), SleepMilliseconds = 10.
CursorPos = (27001,24465), SleepMilliseconds = 10.
CursorPos = (5744,28146), SleepMilliseconds = 10.
CursorPos = (23320,16828), SleepMilliseconds = 10.
CursorPos = (10000,492), SleepMilliseconds = 10.
CursorPos = (3034,11943), SleepMilliseconds = 10.
CursorPos = (4866,5437), SleepMilliseconds = 10.
CursorPos = (32430,14605), SleepMilliseconds = 10.
CursorPos = (3941,154), SleepMilliseconds = 10.
CursorPos = (331,12383), SleepMilliseconds = 10.
CursorPos = (17460,18717), SleepMilliseconds = 10.
CursorPos = (19757,19896), SleepMilliseconds = 10.
行为描述:可执行文件MD5
详情信息:
C:\Documents and Settings\Administrator\Local Settings\Temp\aut6.tmp ---> 4b5289d1dbd727c5dd0e247a7d7db03e
C:\Documents and Settings\Administrator\Local Settings\%temp%\peid.exe ---> 4b5289d1dbd727c5dd0e247a7d7db03e
行为描述:打开互斥体
详情信息:
ShimCacheMutex


进程树
  • [url=]****.exe (PID: 0x00000ae0)[/url]




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
天道酬善
发表于 5 天前 | 显示全部楼层
eset
  1. 日志
  2. 正在扫描日志
  3. 检测引擎的版本: 18345P (20181107)
  4. 日期: 2018-11-08  时间: 9:02:49
  5. 已扫描的磁盘、文件夹和文件: D:\样本\sih.0.9.9.9.zip
  6. 已扫描的对象数: 2
  7. 发现的威胁数: 0
  8. 完成时间: 9:02:49  总扫描时间: 0 秒 (00:00:00)
复制代码
桑德尔
发表于 5 天前 | 显示全部楼层
怎么我下载下来的附件只有4K?
lovelive10010
 楼主| 发表于 5 天前 | 显示全部楼层
桑德尔 发表于 2018-11-8 09:17
怎么我下载下来的附件只有4K?

https://share.weiyun.com/5ODzBdF
这样应该可以了
a1121611810
发表于 5 天前 | 显示全部楼层
WD


zghnsy127
发表于 5 天前 | 显示全部楼层


木马下载者?等大神测吧
桑德尔
发表于 5 天前 | 显示全部楼层
本帖最后由 桑德尔 于 2018-11-8 10:46 编辑

文件名: sih.0.9.9.9.exe
威胁名称: Heur.AdvML.C完整路径: C:\Users\Administrator\Desktop\密码123\sih.0.9.9.9.exe

____________________________

____________________________


在电脑上
2018/11/8 ( 10:43:18 )

上次使用时间
2018/11/8 ( 10:45:18 )

启动项


已启动


威胁类型: 启发式病毒。 根据恶意软件启发式技术检测威胁。

____________________________


sih.0.9.9.9.exe 威胁名称: Heur.AdvML.C
定位


少量用户信任的文件
Norton 社区中有不到 50 名用户 使用了此文件。

发布已久的文件
该文件已在 3 年 4 个月 前发行。


此文件具有高风险。


____________________________


来源: 外部介质

源文件:
sih.0.9.9.9.exe

____________________________

文件操作

文件: C:\Users\Administrator\Desktop\密码123\ sih.0.9.9.9.exe 已删除
____________________________


文件指纹 - SHA:
9a3aabf8cf37c27f5bef73b53fad6781491b5ce62d68669928a102b7828a34da
文件指纹 - MD5:
874d3b5926358f33d426c52735048ca3


文件名: sih.0.9.9.9.exe
威胁名称: Trojan.Gen.6完整路径: C:\Users\Administrator\Desktop\密码123\sih.0.9.9.9.exe

____________________________

____________________________


在电脑上
2018/11/8 ( 10:43:18 )

上次使用时间
2018/11/8 ( 10:45:18 )

启动项


已启动


威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________


sih.0.9.9.9.exe 威胁名称: Trojan.Gen.6
定位


少量用户信任的文件
Norton 社区中有不到 50 名用户 使用了此文件。

发布已久的文件
该文件已在 3 年 4 个月 前发行。


此文件具有高风险。


____________________________


来源: 外部介质

源文件:
sih.0.9.9.9.exe

____________________________

文件操作

文件: C:\Users\Administrator\Desktop\密码123\ sih.0.9.9.9.exe 已删除
____________________________


文件指纹 - SHA:
9a3aabf8cf37c27f5bef73b53fad6781491b5ce62d68669928a102b7828a34da
文件指纹 - MD5:
874d3b5926358f33d426c52735048ca3


www-tekeze
发表于 5 天前 | 显示全部楼层

火绒、智量均不报,已上传智量。
www-tekeze
发表于 5 天前 | 显示全部楼层
本帖最后由 www-tekeze 于 2018-11-8 11:35 编辑
www-tekeze 发表于 2018-11-8 11:04
火绒、智量均不报,已上传智量。

大眼仔旭的汉化版而已,双击后生成三个文件,火绒、智量仍不报,估计没什么问题。

不会联网,没触发火绒的任何系统加固项。。。把这个新生成的peid.exe传上来,大家可以试试。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 5 天前 | 显示全部楼层
www-tekeze 发表于 2018-11-8 11:19
大眼仔旭的汉化版而已,双击后生成三个文件,火绒、智量仍不报,相信没什么问题。

不会联网,没触发火 ...

微步云沙箱给的结论是“经检测该文件为安全”,但行为有4项高危、8项可疑。

看看火绒会不会入库吧。。。

https://s.threatbook.cn/report/file/9a3aabf8cf37c27f5bef73b53fad6781491b5ce62d68669928a102b7828a34da/?env=win7_sp1_enx86_office2013

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2018-11-13 11:02 , Processed in 0.048182 second(s), 2 queries , MemCache On.

快速回复 返回顶部 返回列表