3dm下载的游戏，带山寨数字签名，大量杀软miss

pal家族

230f4 发表于 2016-2-11 19:58
说的是那个igfxpphsya.dll

然后呢，意思是签名了不是毒嘛？
反正卡巴这两个都miss

神迹般存在

卡巴斯基安全软件2016：
均未检测。

已经上报。

签名是WoSign签的，已经过期。

分析：
dll文件基本不可执行，未发现风险。
exe文件是用编程语言C++编写的，危险行为是修改注册表，经过分析，修改注册表的行为仅仅是将其加入系统防火墙可信进程列表，未发现风险。

文件可能是病毒，不建议运行；如果需要运行，请在虚拟机或沙箱中运行。

神迹般存在

fuluoduo2008 发表于 2016-2-10 23:31
火眼的比哈勃更详细，看来没跑了

如果你是哈勃高级用户，你就能查到详细信息了；关键就是现在哈勃不开放高级用户了。

我是高级用户，我得到的信息是：
[mw_shl_code=css,true]基本信息
文件名称：       
ShippingPC-DBGame.exe
MD5：        881c968be2b3947376aaf3ecd2e52643
文件类型：        EXE
上传时间：        2016-02-11 20:15:17
出品公司：        N/A
版本：        N/A
壳或编译器信息：        COMPILER:Microsoft Visual C++ 7.0 [调试] [Overlay]
关键行为
行为描述：        修改注册表_系统防火墙可信进程列表
详情信息：       
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Documents and Settings\Administrator\Local Settings\%temp%\1455193710.975909.exe
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Documents and Settings\Administrator\Local Settings\%temp%\ShippingPC-DBGame.dat
进程行为
行为描述：        创建新文件进程
详情信息：       
ImagePath = C:\DOCUME~1\ADMINI~1\LOCALS~1\%temp%\ShippingPC-DBGame.dat, CmdLine = "C:\DOCUME~1\ADMINI~1\LOCALS~1\%temp%\ShippingPC-DBGame.dat"
行为描述：        创建本地线程
详情信息：       
N/A
行为描述：        进程退出
详情信息：       
N/A
行为描述：        枚举进程
详情信息：       
N/A
文件行为
行为描述：        创建文件
详情信息：       
C:\DOCUME~1\ADMINI~1\LOCALS~1\%temp%\ShippingPC-DBGame.dat
C:\WINDOWS\system32\hnetcfgvua.dll
行为描述：        创建可执行文件
详情信息：       
C:\DOCUME~1\ADMINI~1\LOCALS~1\%temp%\ShippingPC-DBGame.dat
C:\WINDOWS\system32\hnetcfgvua.dll
行为描述：        查找文件
详情信息：       
FileName = C:\DOCUME~1
FileName = C:\DOCUME~1\ADMINI~1
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\%temp%
FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\%temp%\1455193711.014783.exe
FileName = C:\Documents and Settings\Administrator\Application Data\Tencent
FileName = C:\Documents and Settings\Administrator\Application Data\Tencent\QQ
FileName = C:\Documents and Settings\Administrator\Application Data\Tencent\QQ\STemp
FileName = C:\WINDOWS\system32\*.dll
FileName = C:\WINDOWS\system32\drivers\NetSafe.sys
FileName = C:\WINDOWS\system32\drivers\WebSafe.sys
FileName =
FileName = C:\WINDOWS\system32\drivers\gamecn.sys
FileName = C:\WINDOWS\system32\drivers\yxhh.sys
注册表行为
行为描述：        修改注册表_系统防火墙可信进程列表
详情信息：       
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Documents and Settings\Administrator\Local Settings\%temp%\1455193710.975909.exe
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List\C:\Documents and Settings\Administrator\Local Settings\%temp%\ShippingPC-DBGame.dat
其他行为
行为描述：        创建互斥体
详情信息：       
CTF.LBES.MutexDefaultS-*
CTF.Compart.MutexDefaultS-*
CTF.Asm.MutexDefaultS-*
CTF.Layouts.MutexDefaultS-*
CTF.TMD.MutexDefaultS-*
CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*
行为描述：        可执行文件MD5
详情信息：       
C:\DOCUME~1\ADMINI~1\LOCALS~1\%temp%\ShippingPC-DBGame.dat ---> 文件过大!
C:\WINDOWS\system32\hnetcfgvua.dll ---> 94fb23392230f35ce5705f067a55dc84
行为描述：        可执行文件签名信息
详情信息：       
C:\DOCUME~1\ADMINI~1\LOCALS~1\%temp%\ShippingPC-DBGame.dat(签名验证: 未通过)[/mw_shl_code]

230f4

pal家族 发表于 2016-2-11 20:01
然后呢，意思是签名了不是毒嘛？
反正卡巴这两个都miss

她的意思是：下次病毒库更新将会加入对这一文件的检测

要是你早已上报，可以去催一下卡巴斯基的攻城狮了

pal家族

230f4 发表于 2016-2-11 20:25
她的意思是：下次病毒库更新将会加入对这一文件的检测

要是你早已上报，可以去催一下卡巴斯基 ...

我根本就没有上报哦
现在我，想偷懒了，当一个看客，多好

zxcdeyouxiang

下载页面发一下，这么多年3DM论坛用户了，没见过3DM夹带病毒的

lambggy

来看看这个。。。http://bbs.duba.net/thread-22652085-1-1.html

看看再说

这种东西，要是三大妈破的或是大妈发的外国某组破的，那就没毒，要是个人整合发出来的，你就悠着点

fuluoduo2008

zxcdeyouxiang 发表于 2016-2-12 00:06
下载页面发一下，这么多年3DM论坛用户了，没见过3DM夹带病毒的

下载区回锅的老游戏
http://dl.3dmgame.com/201511/65429.html
前几年游民的同一游戏，评论很多说报毒
http://down.gamersky.com/pc/201112/31991.shtml

fuluoduo2008

神迹般存在 发表于 2016-2-11 20:19
如果你是哈勃高级用户，你就能查到详细信息了；关键就是现在哈勃不开放高级用户了。

我是高级用户， ...

我前段申请成功了高级用户，我发的截图和你的代码，是一样的
这里面很多行为很可疑~ 而实际运行后，360ts的主防拦截日志，又有很多哈勃没有的项目~~

[mw_shl_code=css,true]2016-02-10 21:40:40        远程线程注入        [已阻止]
详细描述：
程序：E:\Games\3DMGAME\死亡街区\Binaries\Win32\ShippingPC-DBGame.exe
行为：远程线程注入
路径：E:\Games\3DMGAME\死亡街区\Binaries\Win32\ShippingPC-DBGame.dat
风险文件：E:\Games\3DMGAME\死亡街区\Binaries\Win32\ShippingPC-DBGame.exe

2016-02-10 21:41:11        修改 驱动/服务        [自动阻止]
详细描述：
注册表位置：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\igfxpphsya\[ImagePath]
注册表内容：\??\C:\WINDOWS\system32\igfxpphsya.dll
进程：E:\Games\3DMGAME\死亡街区\Binaries\Win32\ShippingPC-DBGame.exe
父进程：C:\WINDOWS\explorer.exe , (0)

2016-02-10 21:41:11        修改 文件延迟操作项        [已阻止]
详细描述：
注册表位置：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\[PendingFileRenameOperations]
注册表内容：
\??\C:\WINDOWS\system32\Drivers\NetSafe.sys
进程：E:\Games\3DMGAME\死亡街区\Binaries\Win32\ShippingPC-DBGame.exe
父进程：C:\WINDOWS\explorer.exe , (103)

2016-02-10 21:41:29        发现木马：Win32/Trojan.Adware.37e        [已清除]
详细描述：
木马名称：Win32/Trojan.Adware.37e
所在路径：C:\WINDOWS\system32\igfxpphsya.dll[/mw_shl_code]