搜索
12
返回列表 发新帖
楼主: Jirehlov1234
收起左侧

[病毒样本] 2751c9ce1f5f1640e6bf7b0100a869cd0af446ef12ef03ac5b7aba7ab5a55f3f

[复制链接]
ELOHIM
发表于 2019-8-16 19:43:05 | 显示全部楼层

微软目前结果。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
温馨小屋
发表于 2019-8-16 19:44:12 | 显示全部楼层
暗_黑 发表于 2019-8-16 19:41
这。。。不科学

一会就科学了,不就UDS吗,加壳解决一切问题
温馨小屋
发表于 2019-8-16 19:46:06 | 显示全部楼层
暗_黑 发表于 2019-8-16 19:41
这。。。不科学

加壳双击

16.08.2019 19.45.22;检测到 恶意软件;PDM:Trojan.Win32.Generic;C:\Users\zry\Desktop\2019-08-16 104020.exe;c:\users\zry\desktop\2019-08-16 104020.exe;08/16/2019 19:45:22

一会诺顿也来一发,诺顿的特征也挺弱的
温馨小屋
发表于 2019-8-16 19:48:26 | 显示全部楼层
Norton

文件名: 2019-08-16 104020.exe
威胁名称: Trojan Horse


加壳后miss

双击

文件名: 2019-08-16 104020.exe
威胁名称: SONAR.SuspBeh!gen526完整路径: 不可用

____________________________

____________________________


在电脑上
2019/8/16 ( 19:46:59 )

上次使用时间
2019/8/16 ( 19:46:59 )

启动项


已启动


SONAR 主动防护监视电脑上的可疑程序活动。

____________________________


2019-08-16 104020.exe 威胁名称: SONAR.SuspBeh!gen526
定位


极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有高风险。


____________________________


来源: 外部介质

源文件:
2019-08-16 104020.exe

____________________________

文件操作

文件: c:\Users\zry\Desktop\ 2019-08-16 104020.exe 威胁已删除
文件: c:\Users\Public\ qaieonhpkm.vbs 威胁已删除
文件: c:\Users\zry\AppData\Roaming\RmClient\ pcalua.bat 威胁已删除
文件: c:\Users\Public\ qaieonhpkm.vbs 不需要操作
目录: c:\users\zry\appdata\roaming\ rmclient 威胁已删除
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-21-2467112973-1411135096-3433257713-1000\Software\Microsoft\Windows\CurrentVersion\ Run->qaieonhpkm, 注册表配置单元: 64 位 威胁已删除
____________________________

系统设置操作

事件: 进程启动 (执行者 c:\users\zry\desktop\2019-08-16 104020.exe, PID:1548) 未采取操作
事件: PE 文件创建: c:\users\zry\appdata\roaming\rmclient\ pcalua.bat (执行者 c:\users\zry\desktop\2019-08-16 104020.exe, PID:1548) 未采取操作
事件: 进程启动: c:\Windows\SysWOW64\ cmd.exe, PID:1680 (执行者 c:\users\zry\desktop\2019-08-16 104020.exe, PID:1548) 未采取操作
事件: 进程启动: c:\users\zry\desktop\ 2019-08-16 104020.exe, PID:1548 (执行者 c:\users\zry\desktop\2019-08-16 104020.exe, PID:1548) 未采取操作
____________________________

可疑操作

(执行者 c:\users\zry\desktop\2019-08-16 104020.exe, PID:1548) 未采取操作
事件: 尝试在进程地址空间内启动远程线程 (执行者 c:\users\zry\desktop\2019-08-16 104020.exe, PID:1548) 未采取操作
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用


c/mm
发表于 2019-8-16 20:55:44 | 显示全部楼层
Dr.web


2019/8/16 20:54元件:
行為分析編號:
501事件:
已檢測到威脅詳細資料:
物件: 2019-08-16 104020.exe
威脅: DPH:Trojan.Inject.2.16
操作: 已隔離
路徑: C:\Users\join\Desktop\2019-08-16 104020\2019-08-16 104020.exe
www-tekeze
发表于 2019-8-16 22:31:58 | 显示全部楼层
4楼智量Heur杀,火绒Miss,有空双击。。


www-tekeze
发表于 2019-8-16 23:36:10 | 显示全部楼层
www-tekeze 发表于 2019-8-16 22:31
4楼智量Heur杀,火绒Miss,有空双击。。

双击,首先被智量主防杀!

退出智量双击,添加自启、联网,还会释放文件到Roaming里,但随后出错,重启后不试了。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
skilly
发表于 2019-8-17 00:04:41 | 显示全部楼层
*** 进程 ***

进程: 4952
文件名: 2019-08-16 104020.exe
路径: C:\Users\Administrator\Desktop\2019-08-16 104020.exe

发行商:: 未知发行商
创建日期: 2019年8月16日 23:59:51
修改日期: 2019年8月16日 18:13:01

启动进程:: explorer.exe
发行商:: Microsoft Windows


*** 操作 ***

程序正试图建立自启动项,以在系统启动时自动运行。
程序已从自身的程序文件读取数据。
可执行文件被保存在一个可疑位置。
可疑位置为启动区域。


*** 隔离区 ***

下列文件被转入隔离区:
C:\Users\Administrator\AppData\Roaming\RmClient\pcalua.bat
C:\Users\Administrator\Desktop\2019-08-16 104020.exe
C:\Users\Public\qaieonhpkm.vbs

下列注册表项被删除:

\registry\user\s-1-5-21-1173843205-2768935696-3335642588-500\software\microsoft\windows\currentversion\run || qaieonhpkm

YGLhmvLAcoJygmJi0HKCcoJiYnAqdHJCJycmBrdycnJyYmKALicoJygmBrli4ZqykC0nCI9y0nLSYmLwKScnJycmBncqJwiHKicnJycmBocsJycnJyYGpysX5jXGcnJhXmMsJyYG5ygnB/cpJycnJyYGuCwnJycnJgboKicH6CsnJyYmJwcA
规则版本: 5.0.152
OS: Windows 6.1 Service Pack 1.0 Build: 7601 - Workstation 64bit OS
DLL版本: 76935

"C:\Users\Administrator\Desktop\2019-08-16 104020.exe"
MD5: 2CF48DF14B1B1DDB0D7A204CCDA7B671
C:\Windows\Explorer.EXE
MD5: AC4C51EB24AA95B77F705AB159189E24


  这个vbs居然被B引擎报了。
nikbobo
发表于 2019-8-17 11:19:05 | 显示全部楼层
趋势 Mac:TROJ_GEN.R020C0DHG19
QVM360
发表于 2019-8-19 08:48:25 | 显示全部楼层
智量heur杀,火绒miss,数字杀!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-11-19 07:34 , Processed in 0.065533 second(s), 15 queries .

快速回复 返回顶部 返回列表