收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 Pterodo (19.04.14)
1234下一页
返回列表 发新帖
楼主: Jerry.Lin
 收起左侧

[病毒样本] Pterodo (19.04.14)

[复制链接]
ELOHIM
发表于 2019-4-15 09:33:38 | 显示全部楼层
本帖最后由 ELOHIM 于 2019-4-15 09:39 编辑

scep scan miss.  不过已经被微软云杀。

            
winword.exe  		Malicious programs that disrupt, cause direct damage, or facilitate intrusion and data theft. Some malware can replicate and spread from one machine to another.Others receive commands from remote attackers and are used in cyberattacks.             Malware         Scan completed: Malware detected Cloud                          
Scan completed: No malware detected Client                      		Trojan:Win32/Casdet!rfn            
No malware detected         		Online            
1.291.1925.0
回复

举报

a8855942
发表于 2019-4-15 11:27:31 | 显示全部楼层
evans168 发表于 2019-4-14 22:47
FSP

怎么用的繁体中文。
回复

举报

evans168
发表于 2019-4-15 11:34:47 | 显示全部楼层
a8855942 发表于 2019-4-15 11:27
怎么用的繁体中文。

它安裝有提供繁體中文...
回复

举报

a8855942
发表于 2019-4-15 11:43:53 | 显示全部楼层
evans168 发表于 2019-4-15 11:34
它安裝有提供繁體中文...

嗯。我知道。一般用功能应该没区别把。
回复

举报

evans168
发表于 2019-4-15 12:24:44 | 显示全部楼层
本帖最后由 evans168 于 2019-4-15 12:28 编辑
a8855942 发表于 2019-4-15 11:43
嗯。我知道。一般用功能应该没区别把。

功能當然全部一模一樣
使用上非常輕巧不卡頓
防毒改用小紅傘的引擎很不錯

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

www-tekeze
发表于 2019-4-15 13:48:46 | 显示全部楼层
杰伦J时代 发表于 2019-4-15 00:41
你毒霸论坛ID叫什么?我们应该认识的

多年前曾在数字论坛混过,但毒霸论坛没去过。


回复

举报

温馨小屋
头像被屏蔽
发表于 2019-4-15 16:22:57 | 显示全部楼层
文件名: WinWord.exe
威胁名称: Trojan.Gen.MBT完整路径: C:\Users\zry98\Downloads\Compressed\WinWord\WinWord.exe

____________________________

____________________________


在电脑上 
2019/4/15 ( 16:20:42 )

上次使用时间 
2019/4/15 ( 16:22:42 )

启动项 


已启动 


威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________


WinWord.exe 威胁名称: Trojan.Gen.MBT
定位


极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有高风险。


____________________________


https://att.kafan.cn/forum.php?mo ... DU5MDY4OHwyMTQ3Mjc5
已下载文件 从 att.kafan.cn
来源: 外部介质

WinWord.exe

____________________________

文件操作

____________________________


文件指纹 - SHA:
438fb85108f6bdd5d8167f14e28adf816fa91091c21673d01e0e6f5ba68c6328
文件指纹 - MD5:
49cde7d0ca755f0c284d9690e84711ac
回复

举报

温馨小屋
头像被屏蔽
发表于 2019-4-15 16:26:15 | 显示全部楼层
本帖最后由 温馨小屋 于 2019-4-15 16:27 编辑

虚拟机双击实机报毒


断网双击没反应,一联网SONAR立刻爆发


文件名: winword.exe
威胁名称: SONAR.Dropper完整路径: 不可用

____________________________

____________________________


在电脑上
2019/4/15 ( 16:24:16 )

上次使用时间
2019/4/15 ( 16:24:16 )

启动项


已启动


SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


winword.exe 威胁名称: SONAR.Dropper
定位


极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有高风险。


____________________________


来源: 外部介质

源文件:
winrar-x64-570sc.exe

创建的文件:
WinRAR.exe

创建的文件:
WinWord.exe

____________________________

文件操作

文件: c:\Users\zry\Desktop\WinWord\ WinWord.exe 不需要操作
文件: c:\Users\zry\AppData\Roaming\microsoft\IE\ ie_cash.exe 威胁已删除
文件: c:\users\zry\ winsetup.exe 不需要操作
文件: c:\Users\zry\AppData\Local\Temp\7ZipSfx.000\ 26588.cmd 不需要操作
文件: c:\Users\zry\AppData\Roaming\microsoft\Windows\start menu\Programs\Startup\ winsetup.lnk 不需要操作
文件: c:\Users\zry\AppData\Local\Temp\7ZipSfx.001\ 24787.cmd 威胁已删除
文件: c:\Users\zry\AppData\Local\Temp\7ZipSfx.001\ lqBFmcw 威胁已删除
受感染文件: c:\users\zry\desktop\winword\ winword.exe 不需要操作
目录: c:\Users\zry\AppData\Local\Temp\ 7ZipSfx.000 需要重新启动
目录: c:\Users\zry\AppData\Local\Temp\ 7ZipSfx.001 需要重新启动
目录: c:\users\zry\appdata\roaming\microsoft\ ie 威胁已删除
____________________________

网络操作

事件: 已触发自动防护 (执行者 c:\users\zry\desktop\winword\winword.exe, PID:4364) 未采取操作
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\zry\desktop\winword\winword.exe, PID:2268) 未采取操作
事件: PE 文件创建: c:\users\zry\appdata\local\temp\7zipsfx.000\ 19317 (执行者 c:\users\zry\desktop\winword\winword.exe, PID:2268) 未采取操作
(执行者 c:\users\zry\desktop\winword\winword.exe, PID:2268) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ cmd.exe, PID:4668 (执行者 c:\users\zry\desktop\winword\winword.exe, PID:2268) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ tasklist.exe, PID:3380 (执行者 c:\users\zry\desktop\winword\winword.exe, PID:2268) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ find.exe, PID:4236 (执行者 c:\users\zry\desktop\winword\winword.exe, PID:2268) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ tasklist.exe, PID:3620 (执行者 c:\users\zry\desktop\winword\winword.exe, PID:2268) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ find.exe, PID:3872 (执行者 c:\users\zry\desktop\winword\winword.exe, PID:2268) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ taskkill.exe, PID:496 (执行者 c:\users\zry\desktop\winword\winword.exe, PID:2268) 未采取操作
事件: 进程启动: c:\users\zry\appdata\local\temp\7zipsfx.000\ 19317.exe, PID:3052 (执行者 c:\users\zry\desktop\winword\winword.exe, PID:2268) 未采取操作
事件: PE 文件创建: c:\users\zry\ winsetup.exe (执行者 c:\users\zry\desktop\winword\winword.exe, PID:2268) 未采取操作
事件: 进程启动: c:\users\zry\ winsetup.exe, PID:4332 (执行者 c:\users\zry\desktop\winword\winword.exe, PID:2268) 未采取操作
事件: 进程启动: c:\program files (x86)\microsoft office\OFFICE11\ WINWORD.EXE, PID:1720 (执行者 c:\users\zry\desktop\winword\winword.exe, PID:2268) 未采取操作
事件: 进程启动: c:\users\zry\desktop\winword\ winword.exe, PID:2268 (执行者 c:\users\zry\desktop\winword\winword.exe, PID:2268) 未采取操作
事件: 进程启动 (执行者 c:\users\zry\desktop\winword\winword.exe, PID:4364) 未采取操作
事件: PE 文件创建: c:\users\zry\appdata\local\temp\7zipsfx.000\ 19317 (执行者 c:\users\zry\desktop\winword\winword.exe, PID:4364) 未采取操作
(执行者 c:\users\zry\desktop\winword\winword.exe, PID:4364) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ cmd.exe, PID:4216 (执行者 c:\users\zry\desktop\winword\winword.exe, PID:4364) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ tasklist.exe, PID:2672 (执行者 c:\users\zry\desktop\winword\winword.exe, PID:4364) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ find.exe, PID:1044 (执行者 c:\users\zry\desktop\winword\winword.exe, PID:4364) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ tasklist.exe, PID:2956 (执行者 c:\users\zry\desktop\winword\winword.exe, PID:4364) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ find.exe, PID:820 (执行者 c:\users\zry\desktop\winword\winword.exe, PID:4364) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ taskkill.exe, PID:4388 (执行者 c:\users\zry\desktop\winword\winword.exe, PID:4364) 未采取操作
事件: 进程启动: c:\program files (x86)\microsoft office\OFFICE11\ WINWORD.EXE, PID:4948 (执行者 c:\users\zry\desktop\winword\winword.exe, PID:4364) 未采取操作
事件: 进程启动: c:\users\zry\desktop\winword\ winword.exe, PID:4364 (执行者 c:\users\zry\desktop\winword\winword.exe, PID:4364) 未采取操作
事件: 进程启动 (执行者 c:\users\zry\winsetup.exe, PID:4332) 未采取操作
事件: PE 文件创建: c:\Users\zry\AppData\Local\Temp\7ZipSfx.001\ microsoftcreate.exe (执行者 c:\users\zry\winsetup.exe, PID:4332) 未采取操作
(执行者 c:\users\zry\winsetup.exe, PID:4332) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ cmd.exe, PID:4248 (执行者 c:\users\zry\winsetup.exe, PID:4332) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ chcp.com, PID:4120 (执行者 c:\users\zry\winsetup.exe, PID:4332) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ cmd.exe, PID:3280 (执行者 c:\users\zry\winsetup.exe, PID:4332) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ cmd.exe, PID:2468 (执行者 c:\users\zry\winsetup.exe, PID:4332) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ cmd.exe, PID:4352 (执行者 c:\users\zry\winsetup.exe, PID:4332) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ cmd.exe, PID:2588 (执行者 c:\users\zry\winsetup.exe, PID:4332) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ cmd.exe, PID:4700 (执行者 c:\users\zry\winsetup.exe, PID:4332) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ systeminfo.exe, PID:1512 (执行者 c:\users\zry\winsetup.exe, PID:4332) 未采取操作
事件: PE 文件创建: c:\users\zry\appdata\roaming\microsoft\ie\ ie_cash.exe (执行者 c:\users\zry\winsetup.exe, PID:4332) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ schtasks.exe, PID:4216 (执行者 c:\users\zry\winsetup.exe, PID:4332) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ schtasks.exe, PID:4400 (执行者 c:\users\zry\winsetup.exe, PID:4332) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ PING.EXE, PID:712 (执行者 c:\users\zry\winsetup.exe, PID:4332) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ timeout.exe, PID:4308 (执行者 c:\users\zry\winsetup.exe, PID:4332) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ taskkill.exe, PID:2860 (执行者 c:\users\zry\winsetup.exe, PID:4332) 未采取操作
事件: 进程启动: c:\Users\zry\AppData\Local\Temp\7ZipSfx.001\ microsoftcreate.exe, PID:3104 (执行者 c:\users\zry\winsetup.exe, PID:4332) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ timeout.exe, PID:3128 (执行者 c:\users\zry\winsetup.exe, PID:4332) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ timeout.exe, PID:3132 (执行者 c:\users\zry\winsetup.exe, PID:4332) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ PING.EXE, PID:460 (执行者 c:\users\zry\winsetup.exe, PID:4332) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ PING.EXE, PID:4064 (执行者 c:\users\zry\winsetup.exe, PID:4332) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ timeout.exe, PID:2936 (执行者 c:\users\zry\winsetup.exe, PID:4332) 未采取操作
事件: 进程启动: c:\users\zry\ winsetup.exe, PID:4332 (执行者 c:\users\zry\winsetup.exe, PID:4332) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ taskkill.exe, PID:4100 (执行者 c:\users\zry\winsetup.exe, PID:4332) 未采取操作
事件: 进程启动: c:\Users\zry\AppData\Local\Temp\7ZipSfx.001\ microsoftcreate.exe, PID:1632 (执行者 c:\users\zry\winsetup.exe, PID:4332) 未采取操作
____________________________


文件指纹 - SHA:
438fb85108f6bdd5d8167f14e28adf816fa91091c21673d01e0e6f5ba68c6328
文件指纹 - MD5:
49cde7d0ca755f0c284d9690e84711ac


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

a8855942
发表于 2019-4-15 18:03:37 | 显示全部楼层
evans168 发表于 2019-4-15 12:24
功能當然全部一模一樣
使用上非常輕巧不卡頓
防毒改用小紅傘的引擎很不錯

是的比原来用BD好多了,我知道卡巴斯基繁中还有红伞多VPN。GDATA繁中是全功能版简中是互联网安全,多了备份这类的。
回复

举报

桑德尔
头像被屏蔽
发表于 2019-4-15 21:49:28 | 显示全部楼层
温馨小屋 发表于 2019-4-15 16:26
虚拟机双击实机报毒

测试sonar不能断网
回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-5-17 17:42 , Processed in 0.099573 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表