[Asm] 纯文本查看 复制代码 基本信息
文件名称:
新建 好压 7Z 压缩文件.7z
MD5: d2fc38cc2107c80c0ad50671add0cae9
文件类型: 7z
上传时间: 2016-09-27 11:02:47
出品公司: N/A
版本: N/A
壳或编译器信息: COMPILER:Elan
报毒名称: Win32.ELangPE.Gen
子文件信息: 详情
关键行为
行为描述: 修改硬盘引导扇区
详情信息:
N/A
行为描述: 获取User基本信息
详情信息:
Level = 3.
行为描述: 设置启动项
详情信息:
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\轰炸机.exe.lnk
行为描述: 添加新用户帐号
详情信息:
ImagePath = , CmdLine = net user Jia QQ:3312517549 hexinjie1 /add
行为描述: 修改用户密码
详情信息:
ImagePath = , CmdLine = net user Administrator hexinjie1
行为描述: 关机或重启
详情信息:
N/A
行为描述: 直接获取CPU时钟
详情信息:
N/A
进程行为
行为描述: 创建进程
详情信息:
ImagePath = C:\WINDOWS\system32\net.exe, CmdLine = net user admin hexinjie1
ImagePath = C:\WINDOWS\system32\net.exe, CmdLine = net localgroup Jia QQ:3312517549 /add
ImagePath = C:\WINDOWS\system32\shutdown.exe, CmdLine = shutdown.exe -s -t 1
ImagePath = C:\WINDOWS\system32\net1.exe, CmdLine = net1 localgroup Jia QQ:3312517549 /add
ImagePath = C:\WINDOWS\system32\net1.exe, CmdLine = net1 user admin hexinjie1
行为描述: 创建本地线程
详情信息:
TargetProcess: 轰炸机.exe, InheritedFromPID = 1944, ProcessID = 468, ThreadID = 780, StartAddress = 77DC845A, Parameter = 00000000
文件行为
行为描述: 修改文件内容
详情信息:
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\轰炸机.exe.lnk ---> Offset = 0
行为描述: 查找文件
详情信息:
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe_7zdump\轰炸机.exe
FileName = C:\Documents and Settings
FileName = C:\Documents and Settings\Administrator
FileName = C:\Documents and Settings\Administrator\Local Settings
FileName = C:\Documents and Settings\Administrator\Local Settings\Temp
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe_7zdump
FileName = C:\Documents and Settings\Administrator\My Documents
FileName = C:\Documents and Settings\All Users
FileName = C:\Documents and Settings\All Users\Documents
FileName = C:\Documents and Settings\Administrator\桌面
FileName = C:\Documents and Settings\All Users\桌面
FileName = C:\Documents and Settings\Administrator\「开始」菜单
FileName = C:\Documents and Settings\All Users\「开始」菜单
FileName = C:\Documents and Settings\All Users\Application Data
行为描述: 设置启动项
详情信息:
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\轰炸机.exe.lnk
注册表行为
行为描述: 修改注册表
详情信息:
\REGISTRY\USER\S-*\Software\Microsoft\Multimedia\DrawDib\vga.drv 1920x973x16(565 0)
行为描述: 删除注册表键值
详情信息:
\REGISTRY\MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW\DWFileTreeRoot
行为描述: 删除注册表键
详情信息:
\REGISTRY\MACHINE\SOFTWARE\Microsoft\PCHealth\ErrorReporting\DW\
其他行为
行为描述: 创建互斥体
详情信息:
RasPbFile
CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
行为描述: 创建事件对象
详情信息:
EventName = DINPUTWINMM
EventName = Global\userenv: User Profile setup event
行为描述: 打开互斥体
详情信息:
RasPbFile
ShimCacheMutex
行为描述: 修改硬盘引导扇区
详情信息:
N/A
行为描述: 窗口信息
详情信息:
Pid = 588, Hwnd=0x16032e, Text = 确定, ClassName = Button.
Pid = 588, Hwnd=0x100320, Text = 取消, ClassName = Button.
Pid = 588, Hwnd=0x603c6, Text = "0xbf80d9d4" 指令引用的 "0xbf80d9d4" 内存。该内存不能为 "read"。 要终止程序,请单击“确定”。 要调试程序,请单击“取消”。, ClassName = Static.
Pid = 588, Hwnd=0x2102bc, Text = 轰炸机.exe - 应用程序错误, ClassName = #32770.
行为描述: 获取User基本信息
详情信息:
Level = 3.
行为描述: 调整进程token权限
详情信息:
SE_SHUTDOWN_PRIVILEGE
SE_LOAD_DRIVER_PRIVILEGE
SE_REMOTE_SHUTDOWN_PRIVILEGE
行为描述: 打开事件
详情信息:
HookSwitchHookEnabledEvent
_fCanRegisterWithShellService
\INSTALLATION_SECURITY_HOLD
行为描述: 添加新用户帐号
详情信息:
ImagePath = , CmdLine = net user Jia QQ:3312517549 hexinjie1 /add
行为描述: 直接操作物理设备
详情信息:
\??\physicaldrive0
行为描述: 修改用户密码
详情信息:
ImagePath = , CmdLine = net user Administrator hexinjie1
行为描述: 关机或重启
详情信息:
N/A
行为描述: 直接获取CPU时钟
详情信息:
N/A | 
发表于 2015-10-7 00:52
|
发表于 2015-10-7 01:03
