这个文件安全吗？ - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 反病毒/反流氓软件论坛这个文件安全吗？

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

[求助] 这个文件安全吗？

初生襁褓狮

帖子:28
注册: 2015-04-06
来自:

发表于： 2015-06-23 11:17 | 只看楼主 短消息资料

字号：小中大 1楼

这个文件安全吗？

基本信息

文件名称：	屌丝一键重装系统V3.9正式版.exe
MD5：	3a5a39de35a66e9efca24af1a13b23b8
文件类型：	EXE
上传时间：	2015-06-23 10:52:49
出品公司：	www.dsonekey.com
版本：	3.9.0.0---3.9.0.0
壳或编译器信息：	N/A

关键行为

行为描述：	写权限映射文件
详情信息：	CiceroSharedMemDefaultS-1-5-21-1482476501-1645522239-1417001333-500 \Documents and Settings\Administrator\Local Settings\Application Data\GDIPFONTCACHEV1.DAT MSCTF.MarshalInterface.FileMap.IMJ..LFPGF MSCTF.MarshalInterface.FileMap.IMJ.B.LFPGF MSCTF.MarshalInterface.FileMap.IMJ.C.LFPGF MSCTF.MarshalInterface.FileMap.IMJ.D.LFPGF MSCTF.MarshalInterface.FileMap.IMJ.E.LFPGF MSCTF.MarshalInterface.FileMap.IMJ.F.LGPGF MSCTF.MarshalInterface.FileMap.IMJ.G.LGPGF MSCTF.Shared.SFM.IMJ
行为描述：	设置特殊文件夹属性
详情信息：	C:\dsyj
行为描述：	隐藏指定窗口
详情信息：	[Window,Class] = [,Afx:400000:b:10011:1900015:0] [Window,Class] = [,Afx:400000:8:10011:1900015:0] [Window,Class] = [,yinyWindow]

进程行为

行为描述：	隐藏窗口创建进程
详情信息：	ImagePath = , CmdLine = c:\dsyj\drive.exe ImagePath = , CmdLine = c:\dsyj\ghost32 -dd ImagePath = , CmdLine = cmd.exe /c c:\dsyj\dstem.temp -a
行为描述：	创建进程
详情信息：	ImagePath = C:\WINDOWS\system32\cmd.exe, CmdLine = cmd.exe /c C:\dsyj\dstem.temp -a
行为描述：	创建新文件进程
详情信息：	ImagePath = C:\dsyj\drive.exe, CmdLine = C:\dsyj\drive.exe ImagePath = C:\dsyj\ghost32.exe, CmdLine = C:\dsyj\ghost32 -dd ImagePath = C:\dsyj\dstem.temp, CmdLine = C:\dsyj\dstem.temp -a
行为描述：	枚举进程
详情信息：	N/A

文件行为

行为描述：	写权限映射文件
详情信息：	CiceroSharedMemDefaultS-1-5-21-1482476501-1645522239-1417001333-500 \Documents and Settings\Administrator\Local Settings\Application Data\GDIPFONTCACHEV1.DAT MSCTF.MarshalInterface.FileMap.IMJ..LFPGF MSCTF.MarshalInterface.FileMap.IMJ.B.LFPGF MSCTF.MarshalInterface.FileMap.IMJ.C.LFPGF MSCTF.MarshalInterface.FileMap.IMJ.D.LFPGF MSCTF.MarshalInterface.FileMap.IMJ.E.LFPGF MSCTF.MarshalInterface.FileMap.IMJ.F.LGPGF MSCTF.MarshalInterface.FileMap.IMJ.G.LGPGF MSCTF.Shared.SFM.IMJ
行为描述：	创建可执行文件
详情信息：	C:\dsyj\bcdedit.exe C:\dsyj\drive.exe C:\dsyj\ghost32.exe C:\dsyj\dstem.temp
行为描述：	修改文件内容
详情信息：	C:\dsyj\dsonekey.ini---> Offset = 0 C:\dsyj\ghost32.dmp---> Offset = 128 C:\dsyj\GHSTSTAT.TXT---> Offset = 4096
行为描述：	设置特殊文件夹属性
详情信息：	C:\dsyj

其他行为

行为描述：	创建互斥体
详情信息：	CTF.LBES.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500 CTF.Compart.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500 CTF.Asm.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500 CTF.Layouts.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500 CTF.xxx.MutexDefaultS-1-5-21-1482476501-1645522239-1417001333-500 CTF.TimListCache.FMPDefaultS-1-5-21-1482476501-1645522239-1417001333-500MUTEX.DefaultS-1-5-21-1482476501-1645522239-1417001333-500 MSCTF.Shared.MUTEX.AEH SHIMLIB_LOG_MUTEX MSCTF.Shared.MUTEX.IMJ
行为描述：	隐藏指定窗口
详情信息：	[Window,Class] = [,Afx:400000:b:10011:1900015:0] [Window,Class] = [,Afx:400000:8:10011:1900015:0] [Window,Class] = [,yinyWindow]
行为描述：	查找指定窗口
详情信息：	NtUserFindWindowEx: [Class,Window] = [,] NtUserFindWindowEx: [Class,Window] = [BUTTON,] NtUserFindWindowEx: [Class,Window] = [Edit,] NtUserFindWindowEx: [Class,Window] = [ComboBox,] NtUserFindWindowEx: [Class,Window] = [msctls_trackbar32,] NtUserFindWindowEx: [Class,Window] = [msctls_progress32,] NtUserFindWindowEx: [Class,Window] = [ListBox,] NtUserFindWindowEx: [Class,Window] = [SysListView32,] NtUserFindWindowEx: [Class,Window] = [SysTreeView32,] NtUserFindWindowEx: [Class,Window] = [SysIPAddress32,] NtUserFindWindowEx: [Class,Window] = [SysDateTimePick32,] NtUserFindWindowEx: [Class,Window] = [msctls_updown32,] NtUserFindWindowEx: [Class,Window] = [SysHeader32,] NtUserFindWindowEx: [Class,Window] = [ToolbarWindow32,] NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
行为描述：	获取系统权限
详情信息：	SE_LOAD_DRIVER_PRIVILEGE SE_INC_BASE_PRIORITY_PRIVILEGE
行为描述：	窗口信息
详情信息：	Pid = 2752, Hwnd=0x10378, Text = C:\dsyj\ghost32.exe, ClassName = ConsoleWindowClass. Pid = 2500, Hwnd=0x1036c, Text = 正在加载系统中，可能需要一段时间请稍后, ClassName = Afx:400000:b:10011:1900015:0. Pid = 2500, Hwnd=0x10368, Text = 加载系统, ClassName = WTWindow. Pid = 2500, Hwnd=0x2037a, Text = 确定, ClassName = Button. Pid = 2500, Hwnd=0x10380, Text = 读取磁盘分区失败，请重新启动电脑然后再运行软件试试！, ClassName = Static. Pid = 2500, Hwnd=0x9037e, Text = 屌丝提示：读取分区失败！, ClassName = #32770. Pid = 2500, Hwnd=0x20358, Text = 确定, ClassName = Button. Pid = 2500, Hwnd=0x2035c, Text = 运行时出错! 错误信息：无法找到指定DLL库文件“xldl.dll”中的输出命令“XL_UnInit” , ClassName = Static. Pid = 2500, Hwnd=0x20356, Text = 错误, ClassName = #32770.
行为描述：	直接操作物理设备
详情信息：	\??\PhysicalDrive0
行为描述：	使用SCSI指令读写硬盘
详情信息：	LBA = 0x2400 SCSIOP = 0x12 LBA = 0x0 SCSIOP = 0x0 LBA = 0x3E00 SCSIOP = 0x12 LBA = 0x2A000000 SCSIOP = 0x5A LBA = 0x2A0000 SCSIOP = 0x46 LBA = 0x2F0000 SCSIOP = 0x46

用户系统信息：Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/31.0.1650.63 Safari/537.36

分享到：

gototop

麦青儿管理员帖子:17112 注册: 2004-03-26 来自:	发表于： 2015-06-23 13:40 \| 短消息资料字号：小中大 2楼回复：这个文件安全吗？请把这个文件压缩，以附件形式发到可疑文件交流区： http://bbs.ikaka.com/showforum-20002.aspx，让攻城狮分析下。
麦青儿管理员帖子:17112 注册: 2004-03-26 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT