文件夹病毒分析

所属分类:技术

基本信息

  • 文件名称:5f0805123f8586107daa1cfc38973e83
  • MD5:5f0805123f8586107daa1cfc38973e83
  • Sha-1:0078540e071161ec7f14a80a462e775d6981c804
  • 文件大小:148KB
  • 创建时间:2013-02-19 13:01:38
  • 文件类型:EXE

火眼点评

      疑似伪装文件夹病毒;设置文件属性;查找文件;拷贝自身到其他目录;创建互斥体

新毒霸点评

  经新毒霸云安全中心分析,该文件存在病毒,请及时删除!

危险行为监控

  • 行为描述:疑似伪装文件夹病毒 附加信息: %USERPROFILE%Local SettingsApplication DataStartupdate.exe %ProgramFiles%sample.exe sample.exe

其他行为监控

  • 行为描述:创建互斥体 附加信息: "LDLLMAIN" "Shell.CMruPidlList"
  • 行为描述:拷贝自身到其他目录 附加信息: %USERPROFILE%Local SettingsApplication DataStartupdate.exe
  • 行为描述:查找文件 附加信息: "%USERPROFILE%Local SettingsApplication DataS-1-5-31-1286970278978-5713669491-166975984-320Rotinomsample*.*" "%USERPROFILE%Local SettingsApplication DataStartupdate.exe" "%ProgramFiles%sample"
  • 行为描述:设置文件属性 附加信息: %USERPROFILE%Local SettingsApplication DataS-1-5-31-1286970278978-5713669491-166975984-320 >> HIDE %USERPROFILE%Local SettingsApplication DataS-1-5-31-1286970278978-5713669491-166975984-320 >> HIDE >> SYSTEM %USERPROFILE%Local SettingsApplication DataS-1-5-31-1286970278978-5713669491-166975984-320 >> SYSTEM %USERPROFILE%Local SettingsApplication DataS-1-5-31-1286970278978-5713669491-166975984-320Rotinom >> HIDE %USERPROFILE%Local SettingsApplication DataS-1-5-31-1286970278978-5713669491-166975984-320Rotinom >> HIDE >> SYSTEM %USERPROFILE%Local SettingsApplication DataS-1-5-31-1286970278978-5713669491-166975984-320Rotinom >> SYSTEM %USERPROFILE%Local SettingsApplication DataS-1-5-31-1286970278978-5713669491-166975984-320dmc >> HIDE %USERPROFILE%Local SettingsApplication DataS-1-5-31-1286970278978-5713669491-166975984-320dmc >> HIDE >> SYSTEM %USERPROFILE%Local SettingsApplication DataS-1-5-31-1286970278978-5713669491-166975984-320dmc >> SYSTEM %USERPROFILE%Local SettingsApplication DataS-1-5-31-1286970278978-5713669491-166975984-320 lsr >> HIDE %USERPROFILE%Local SettingsApplication DataS-1-5-31-1286970278978-5713669491-166975984-320 lsr >> HIDE >> SYSTEM %USERPROFILE%Local SettingsApplication DataS-1-5-31-1286970278978-5713669491-166975984-320 lsr >> SYSTEM %USERPROFILE%Local SettingsApplication DataStart >> HIDE %USERPROFILE%Local SettingsApplication DataStart >> HIDE >> SYSTEM %USERPROFILE%Local SettingsApplication DataStart >> SYSTEM %ProgramFiles%sample >> HIDE %ProgramFiles%sample >> SYSTEM %ProgramFiles%sample >> HIDE >> SYSTEM

文件操作监控

操作

文件MD5

文件大小

文件路径

新增

5f0805123f8586107daa1cfc38973e83

151552

%USERPROFILE%Local SettingsAppli...

进程操作监控

  • 创建进程:%ProgramFiles%sample 启动参数:无
  • 新增
  • 删除
  • 修改

注册表监控

  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerAdvanc... [HideFileExt] = [0x00000001] [Hidden] = [0x00000002]
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell ... [Startup] = [C:Documents and SettingsAdministratorLocal SettingsApplication DataStart]
  • HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUser S... [Startup] = [C:Documents and SettingsAdministratorLocal SettingsApplication DataStart]

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏运维

DNS主从服务器搭建

http://blog.51cto.com/yichenyang/1911098 http://blog.51cto.com/wubinary/1379595

19110
来自专栏乐沙弥的世界

ORA-27090 故障一例

    最近的alert日志中碰到了ORA-27090的错误信息,其错误提示为Unable to reserve kernel resources for as...

8020
来自专栏芋道源码1024

注册中心 Eureka 源码解析 —— Eureka-Server 启动(二)之 EurekaBootStrap

本文主要基于 Eureka 1.8.X 版本 1. 概述 2. EurekaBootStrap 2.1 初始化 Eureka-Server 配置环境 2.2 初...

82240
来自专栏Hadoop实操

Yarn的JobHistory目录权限问题导致MapReduce作业异常

0: jdbc:hive2://localhost:10000>select count(*) from student;

1.6K70
来自专栏耕耘实录

找回win7桌面IE图标我有绝招

现在很多同学都用了微软的新一代操作系统Windows7,都为Windows7的华丽界面及更人性化得操作所深深吸引,但是由于我们大多数同学都习惯了原来的Windo...

33950
来自专栏JavaWeb

Spring源码-父子容器

36650
来自专栏wOw的Android小站

[Android][Framework] Android O SystemServer启动流程

SystemServer通过ZygoteInit.java反射启动,首先会进入main方法,main会构造一个新的SystemServer,然后运行run()方...

42220
来自专栏10km的专栏

cmake:vs2015/MinGW静态编译leveldb

leveldb是google的开源项目(https://github.com/google/leveldb), 在linux下编译很方便,然而官方版本却没有提供...

60460
来自专栏Java学习网

在Java EE7框架中使用MongoDB

中心点创建应用程序的执行在企业环境中,应用程序必须安全、便携和高可用性。它还必须能够与不同的系统交互,但可控的从一个最好的位置。JEE7合并是一个重要的框架的所...

31760
来自专栏Android 研究

Android系统启动——6 SystemServer启动

SystemServer是Android系统的核心之一,大部分Android提供的服务都运行在这个进程里,SystemServer中运行的服务总共有60多种。为...

73730

扫码关注云+社区

领取腾讯云代金券