中级玩家
 
- 贡献度
- 1
- 金元
- 2120
- 积分
- 216
- 精华
- 0
- 注册时间
- 2015-4-5
|
建议封IP
原帖地址:http://bbs.3dmgame.com/thread-5273277-1-1.html
ID:aaqaz110
开始没注意是新号,下完了,解压完了运行Dead by Daylight.exe,里面也没有他帖子里面说的黎明杀机1.1.1.exe。
结果弹出网站,感觉不对,马上回帖子一看,尼玛新号。
然后传到火眼分析了下:
火眼分析地址:http://fireeye.ijinshan.com/anal ... 23e&type=1#full
文件名称: Dead by Daylight.exeMD5: 036d1bf6c674463b899d74e132657816Sha-1: f8d5b5e3318bd472984a34557af10ce32eae723e文件大小: 44.84MB创建时间: 2016-09-19 01:57:16文件类型: RAR
火眼点评
搜索指定窗口;IE 代理服务器设置;创建进程;创建互斥体;在其他进程中申请内存;拷贝自身到其他目录
其他行为监控
- 行为描述:拷贝自身到其他目录
附加信息:%ProgramFiles%\Dead by Daylight.exe
- 行为描述:在其他进程中申请内存
附加信息:%ProgramFiles%\Internet Explorer\IEXPLORE.EXE
- 行为描述:创建互斥体
附加信息:"MidiMapper_Configure" "MidiMapper_modLongMessage_RefCnt" "RPCSS_REGEVENT:{0002DF01-0000-0000-C000-000000000046}" "Shell.CMruPidlList" "_!SHMSFTHISTORY!_" "c:!documents and settings!administrator!local settings!history!history.ie5!mshist012013012320130124!" "shell._ie_sessioncount"
- 行为描述:创建进程
附加信息:%ProgramFiles%\Internet Explorer\IEXPLORE.EXE
- 行为描述:IE 代理服务器设置
附加信息:关闭IE代理服务
- 行为描述:搜索指定窗口
附加信息:["" , "DeadByDaylight-Win64-Shipping.exe"] ["" , "Microsoft Internet Explorer"] ["IEFrame" , ""]
文件操作监控
操作 文件MD5 文件大小 文件路径
新增 036d1bf6c674463b899d74e132657816 47013888 %ProgramFiles%\\Dead by Daylight.e...
注册表监控
- HKEY_CURRENT_USER\\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E2E...
- HKEY_CURRENT_USER\\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{E2E...[Type] = [0x00000004]
[Count] = [0x00000001]
[Time] = [\xdd\x07\x01\x00\x03...]
- HKEY_CURRENT_USER\\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FB5...
- HKEY_CURRENT_USER\\Software\Microsoft\Windows\CurrentVersion\Ext\Stats\{FB5...[Type] = [0x00000004]
[Count] = [0x00000001]
[Time] = [\xdd\x07\x01\x00\x03...]
网络监控
- 网络操作[HTTP Request]GET 5letv.com/gx/ql.html
[HTTP Request]GET jq.qq.com/?_wv=1027&k=27bXDGU
[Open URL]5letv.com
[Open URL]jq.qq.com
运行截图
|
|
发表于 2016-9-19 02:11
收藏