瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 这个文件安全吗?
486294215@qq.com - 2015-6-23 11:17:00


基本信息
文件名称:屌丝一键重装系统V3.9正式版.exe
MD5:3a5a39de35a66e9efca24af1a13b23b8
文件类型:EXE
上传时间:2015-06-23 10:52:49
出品公司:www.dsonekey.com
版本:3.9.0.0---3.9.0.0
壳或编译器信息:N/A



关键行为
行为描述:写权限映射文件
详情信息:CiceroSharedMemDefaultS-1-5-21-1482476501-1645522239-1417001333-500
\Documents and Settings\Administrator\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
MSCTF.MarshalInterface.FileMap.IMJ..LFPGF
MSCTF.MarshalInterface.FileMap.IMJ.B.LFPGF
MSCTF.MarshalInterface.FileMap.IMJ.C.LFPGF
MSCTF.MarshalInterface.FileMap.IMJ.D.LFPGF
MSCTF.MarshalInterface.FileMap.IMJ.E.LFPGF
MSCTF.MarshalInterface.FileMap.IMJ.F.LGPGF
MSCTF.MarshalInterface.FileMap.IMJ.G.LGPGF
MSCTF.Shared.SFM.IMJ
行为描述:设置特殊文件夹属性
详情信息:C:\dsyj
行为描述:隐藏指定窗口
详情信息:[Window,Class] = [,Afx:400000:b:10011:1900015:0]
[Window,Class] = [,Afx:400000:8:10011:1900015:0]
[Window,Class] = [,yinyWindow]



进程行为
行为描述:隐藏窗口创建进程
详情信息:ImagePath = , CmdLine = c:\dsyj\drive.exe
ImagePath = , CmdLine = c:\dsyj\ghost32 -dd
ImagePath = , CmdLine = cmd.exe /c c:\dsyj\dstem.temp -a
行为描述:创建进程
详情信息:ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = cmd.exe /c C:\dsyj\dstem.temp -a
行为描述:创建新文件进程
详情信息:ImagePath = C:\dsyj\drive.exe, CmdLine = C:\dsyj\drive.exe
ImagePath = C:\dsyj\ghost32.exe, CmdLine = C:\dsyj\ghost32 -dd
ImagePath = C:\dsyj\dstem.temp, CmdLine = C:\dsyj\dstem.temp -a
行为描述:枚举进程
详情信息:N/A



文件行为
行为描述:写权限映射文件
详情信息:CiceroSharedMemDefaultS-1-5-21-1482476501-1645522239-1417001333-500
\Documents and Settings\Administrator\Local Settings\Application Data\GDIPFONTCACHEV1.DAT
MSCTF.MarshalInterface.FileMap.IMJ..LFPGF
MSCTF.MarshalInterface.FileMap.IMJ.B.LFPGF
MSCTF.MarshalInterface.FileMap.IMJ.C.LFPGF
MSCTF.MarshalInterface.FileMap.IMJ.D.LFPGF
MSCTF.MarshalInterface.FileMap.IMJ.E.LFPGF
MSCTF.MarshalInterface.FileMap.IMJ.F.LGPGF
MSCTF.MarshalInterface.FileMap.IMJ.G.LGPGF
MSCTF.Shared.SFM.IMJ
行为描述:创建可执行文件
详情信息:C:\dsyj\bcdedit.exe
C:\dsyj\drive.exe
C:\dsyj\ghost32.exe
C:\dsyj\dstem.temp
行为描述:修改文件内容
详情信息:C:\dsyj\dsonekey.ini---> Offset = 0
C:\dsyj\ghost32.dmp---> Offset = 128
C:\dsyj\GHSTSTAT.TXT---> Offset = 4096
行为描述:设置特殊文件夹属性
详情信息:C:\dsyj



其他行为
行为描述:创建互斥体
详情信息:CTF.LBES.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Compart.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Asm.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.Layouts.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.xxx.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500
CTF.TimListCache.FMPDefaultS-1-5-21-1482476501-1645522239-1417001333-500MUTEX.DefaultS-1-5-21-1482476501-1645522239-1417001333-500
MSCTF.Shared.MUTEX.AEH
SHIMLIB_LOG_MUTEX
MSCTF.Shared.MUTEX.IMJ
行为描述:隐藏指定窗口
详情信息:[Window,Class] = [,Afx:400000:b:10011:1900015:0]
[Window,Class] = [,Afx:400000:8:10011:1900015:0]
[Window,Class] = [,yinyWindow]
行为描述:查找指定窗口
详情信息:NtUserFindWindowEx: [Class,Window] = [,]
NtUserFindWindowEx: [Class,Window] = [BUTTON,]
NtUserFindWindowEx: [Class,Window] = [Edit,]
NtUserFindWindowEx: [Class,Window] = [ComboBox,]
NtUserFindWindowEx: [Class,Window] = [msctls_trackbar32,]
NtUserFindWindowEx: [Class,Window] = [msctls_progress32,]
NtUserFindWindowEx: [Class,Window] = [ListBox,]
NtUserFindWindowEx: [Class,Window] = [SysListView32,]
NtUserFindWindowEx: [Class,Window] = [SysTreeView32,]
NtUserFindWindowEx: [Class,Window] = [SysIPAddress32,]
NtUserFindWindowEx: [Class,Window] = [SysDateTimePick32,]
NtUserFindWindowEx: [Class,Window] = [msctls_updown32,]
NtUserFindWindowEx: [Class,Window] = [SysHeader32,]
NtUserFindWindowEx: [Class,Window] = [ToolbarWindow32,]
NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
行为描述:获取系统权限
详情信息:SE_LOAD_DRIVER_PRIVILEGE
SE_INC_BASE_PRIORITY_PRIVILEGE
行为描述:窗口信息
详情信息:Pid = 2752, Hwnd=0x10378, Text = C:\dsyj\ghost32.exe, ClassName = ConsoleWindowClass.
Pid = 2500, Hwnd=0x1036c, Text = 正在加载系统中,可能需要一段时间请稍后, ClassName = Afx:400000:b:10011:1900015:0.
Pid = 2500, Hwnd=0x10368, Text = 加载系统, ClassName = WTWindow.
Pid = 2500, Hwnd=0x2037a, Text = 确定, ClassName = Button.
Pid = 2500, Hwnd=0x10380, Text = 读取磁盘分区失败,请重新启动电脑然后再运行软件试试!, ClassName = Static.
Pid = 2500, Hwnd=0x9037e, Text = 屌丝提示:读取分区失败!, ClassName = #32770.
Pid = 2500, Hwnd=0x20358, Text = 确定, ClassName = Button.
Pid = 2500, Hwnd=0x2035c, Text = 运行时出错! 错误信息:无法找到指定DLL库文件“xldl.dll”中的输出命令“XL_UnInit” , ClassName = Static.
Pid = 2500, Hwnd=0x20356, Text = 错误, ClassName = #32770.
行为描述:直接操作物理设备
详情信息:\??\PhysicalDrive0
行为描述:使用SCSI指令读写硬盘
详情信息:LBA = 0x2400 SCSIOP = 0x12
LBA = 0x0 SCSIOP = 0x0
LBA = 0x3E00 SCSIOP = 0x12
LBA = 0x2A000000 SCSIOP = 0x5A
LBA = 0x2A0000 SCSIOP = 0x46
LBA = 0x2F0000 SCSIOP = 0x46





用户系统信息:Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36
麦青儿 - 2015-6-23 13:40:00
请把这个文件压缩,以附件形式发到可疑文件交流区:
http://bbs.ikaka.com/showforum-20002.aspx,让攻城狮分析下。
1
查看完整版本: 这个文件安全吗?