瑞星卡卡安全论坛

首页 » 技术交流区 » 可疑文件交流 » 下载多个程序的可疑文件
RichardGv - 2009-5-22 19:15:00
源URL: 提供在附件中。
行为:联网大量下载可执行文件,运行cmd.exe。Comodo似乎无法记录详细日志。
部分生成文件(沙盘执行后):

[复制到剪贴板]
CODE:
C:\Sandbox\DefAdmin\  -  第  1  页,共  2  页
DefaultBox
RegHive    262,144    09-05-22  19:02    -a-- RegHive.LOG        1,024    09-05-22 
19:02    -ah-
257  k  于  2  个文件中
DefaultBox\drive
0  k  于  0  个文件中
DefaultBox\drive\C
0  k  于  0  个文件中
DefaultBox\drive\C\WINDOWS
SbiePst.dat    388    09-05-22  19:00    -ah-
0  k  于  1  个文件中
DefaultBox\drive\C\WINDOWS\system32
12427.exe    54,272    09-05-22  19:01    -a--
53  k  于  1  个文件中
DefaultBox\drive\C\WINDOWS\system32\DRIVERS
ip_fw.sys    26,240    09-05-22  19:01    -a--
25  k  于  1  个文件中
DefaultBox\drive\C\WINDOWS\Tasks
{783AF354-B514-42d6-970E-3E8BF0A5279C}.job    338    09-05-22  19:01    -ah-
0  k  于  1  个文件中
DefaultBox\user
0  k  于  0  个文件中
DefaultBox\user\current
0  k  于  0  个文件中
DefaultBox\user\current\Cookies
index.dat    49,152    09-05-22  19:01    -a--
48  k  于  1  个文件中
DefaultBox\user\current\Local  Settings
0  k  于  0  个文件中
DefaultBox\user\current\Local  Settings\History
0  k  于  0  个文件中
DefaultBox\user\current\Local  Settings\History\History.IE5
index.dat    196,608    09-05-22  19:01    -a--
192  k  于  1  个文件中
DefaultBox\user\current\Local  Settings\Temp
7572.exe    0    09-05-22  19:01    -a--
8807.exe    118,788    09-05-22  18:44    -a--
9028.exe    54,272    09-05-22  18:45    -a--
11046.exe    0    09-05-22  18:45    -a--
11205.exe    152,068    09-05-22  18:45    -a--
12125.exe    118,788    09-05-22  19:01    -a--
12427.exe    54,272    09-05-22  19:01    -a--
19842.exe    152,068    09-05-22  19:01    -a--
635  k  于  8  个文件中
DefaultBox\user\current\Local  Settings\Temporary  Internet  Files
0  k  于  0  个文件中
DefaultBox\user\current\Local  Settings\Temporary  Internet 
Files\Content.IE5
index.dat    1,245,184    09-05-22  19:01    -a--
1,216  k  于  1  个文件中
DefaultBox\user\current\Local  Settings\Temporary  Internet 
Files\Content.IE5\5FXAH33O eee9999[1].htm        0    09-05-22  19:01    -a--
file[2].exe    54,272    09-05-22  19:01    -a--
53  k  于  2  个文件中
DefaultBox\user\current\Local  Settings\Temporary  Internet 
Files\Content.IE5\MXJEKWUY item[1].gif    152,068    09-05-22  18:45    -a--
item[2].gif    152,068    09-05-22  19:01    -a--
297  k  于  2  个文件中
DefaultBox\user\current\Local  Settings\Temporary  Internet 
Files\Content.IE5\REY226J0 perce[1].gif    118,788    09-05-22  18:44    -a--
perce[2].gif    118,788    09-05-22  19:01    -a--
232  k  于  2  个文件中
C:\Sandbox\DefAdmin\  -  第  2  页,共  2  页
DefaultBox\user\current\Local  Settings\Temporary  Internet 
Files\Content.IE5\S1Q86T3O
0  k  于  0  个文件中
DefaultBox\user\current\My  Documents
0  k  于  0  个文件中
DefaultBox\user\current\My  Documents\Downloads
0  k  于  0  个文件中
DefaultBox\user\current\My  Documents\Downloads\Programs
The.Bat.v4.0.0.22.Professional.Edition.45064.exe    0    09-05-22  18:34   
-a--
0  k  于  1  个文件中


原文件及下载文件在VirScan和VirusTotal中未检测到确定的病毒。

用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10

附件: vir0522.zip
瑞星工程师19 - 2009-5-23 9:34:00
感谢楼主的支持,您提交的的样本已经上报,请继续关注瑞星~
baohe - 2009-5-23 11:02:00
我认为这是个病毒下载器。

访问网络后释放的文件:


 附件: 您所在的用户组无法下载或查看附件



此毒的注册表改写情况:


 附件: 您所在的用户组无法下载或查看附件
1
查看完整版本: 下载多个程序的可疑文件
© 2000 - 2025 Rising Corp. Ltd.