1   1  /  1  页   跳转

下载多个程序的可疑文件

收藏
RichardGv
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2009-05-22
  • 来自:
发表于: 2009-05-22 19:15 | 只看楼主 短消息 资料
字号: 1楼

下载多个程序的可疑文件

源URL: 提供在附件中。
行为:联网大量下载可执行文件,运行cmd.exe。Comodo似乎无法记录详细日志。
部分生成文件(沙盘执行后):

[复制到剪贴板]
CODE:
C:\Sandbox\DefAdmin\  -  第  1  页,共  2  页
DefaultBox
RegHive    262,144    09-05-22  19:02    -a-- RegHive.LOG        1,024    09-05-22 
19:02    -ah-
257  k  于  2  个文件中
DefaultBox\drive
0  k  于  0  个文件中
DefaultBox\drive\C
0  k  于  0  个文件中
DefaultBox\drive\C\WINDOWS
SbiePst.dat    388    09-05-22  19:00    -ah-
0  k  于  1  个文件中
DefaultBox\drive\C\WINDOWS\system32
12427.exe    54,272    09-05-22  19:01    -a--
53  k  于  1  个文件中
DefaultBox\drive\C\WINDOWS\system32\DRIVERS
ip_fw.sys    26,240    09-05-22  19:01    -a--
25  k  于  1  个文件中
DefaultBox\drive\C\WINDOWS\Tasks
{783AF354-B514-42d6-970E-3E8BF0A5279C}.job    338    09-05-22  19:01    -ah-
0  k  于  1  个文件中
DefaultBox\user
0  k  于  0  个文件中
DefaultBox\user\current
0  k  于  0  个文件中
DefaultBox\user\current\Cookies
index.dat    49,152    09-05-22  19:01    -a--
48  k  于  1  个文件中
DefaultBox\user\current\Local  Settings
0  k  于  0  个文件中
DefaultBox\user\current\Local  Settings\History
0  k  于  0  个文件中
DefaultBox\user\current\Local  Settings\History\History.IE5
index.dat    196,608    09-05-22  19:01    -a--
192  k  于  1  个文件中
DefaultBox\user\current\Local  Settings\Temp
7572.exe    0    09-05-22  19:01    -a--
8807.exe    118,788    09-05-22  18:44    -a--
9028.exe    54,272    09-05-22  18:45    -a--
11046.exe    0    09-05-22  18:45    -a--
11205.exe    152,068    09-05-22  18:45    -a--
12125.exe    118,788    09-05-22  19:01    -a--
12427.exe    54,272    09-05-22  19:01    -a--
19842.exe    152,068    09-05-22  19:01    -a--
635  k  于  8  个文件中
DefaultBox\user\current\Local  Settings\Temporary  Internet  Files
0  k  于  0  个文件中
DefaultBox\user\current\Local  Settings\Temporary  Internet 
Files\Content.IE5
index.dat    1,245,184    09-05-22  19:01    -a--
1,216  k  于  1  个文件中
DefaultBox\user\current\Local  Settings\Temporary  Internet 
Files\Content.IE5\5FXAH33O eee9999[1].htm        0    09-05-22  19:01    -a--
file[2].exe    54,272    09-05-22  19:01    -a--
53  k  于  2  个文件中
DefaultBox\user\current\Local  Settings\Temporary  Internet 
Files\Content.IE5\MXJEKWUY item[1].gif    152,068    09-05-22  18:45    -a--
item[2].gif    152,068    09-05-22  19:01    -a--
297  k  于  2  个文件中
DefaultBox\user\current\Local  Settings\Temporary  Internet 
Files\Content.IE5\REY226J0 perce[1].gif    118,788    09-05-22  18:44    -a--
perce[2].gif    118,788    09-05-22  19:01    -a--
232  k  于  2  个文件中
C:\Sandbox\DefAdmin\  -  第  2  页,共  2  页
DefaultBox\user\current\Local  Settings\Temporary  Internet 
Files\Content.IE5\S1Q86T3O
0  k  于  0  个文件中
DefaultBox\user\current\My  Documents
0  k  于  0  个文件中
DefaultBox\user\current\My  Documents\Downloads
0  k  于  0  个文件中
DefaultBox\user\current\My  Documents\Downloads\Programs
The.Bat.v4.0.0.22.Professional.Edition.45064.exe    0    09-05-22  18:34   
-a--
0  k  于  1  个文件中


原文件及下载文件在VirScan和VirusTotal中未检测到确定的病毒。

用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 5.1; zh-CN; rv:1.9.0.10) Gecko/2009042316 Firefox/3.0.10

附件附件:

您所在的用户组无法下载或查看附件

分享到:
gototop
 
瑞星工程师19
头像
在线技术支持工程师
  • 帖子:3977
  • 注册: 2008-09-08
  • 来自:
发表于: 2009-05-23 09:34 | 短消息 资料
字号: 2楼

回复:下载多个程序的可疑文件

感谢楼主的支持,您提交的的样本已经上报,请继续关注瑞星~
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-05-23 11:02 | 短消息 资料
字号: 3楼

回复 1F RichardGv 的帖子

我认为这是个病毒下载器。

访问网络后释放的文件:


 附件: 您所在的用户组无法下载或查看附件



此毒的注册表改写情况:


 附件: 您所在的用户组无法下载或查看附件
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT