Price.jpg.exe（有数签！）

显示全部楼层 · 发表于 2016-9-4 17:38:30

XywCloud 发表于 2016-9-4 17:15
利用合法远控软件进行远控。
无脑使用各类监控工具来分析病毒永远不是最佳选择。

对的，还在学习中

显示全部楼层 · 发表于 2016-9-4 17:46:06

我要打十個发表于 2016-9-4 17:38
对的，还在学习中

很像我以前的样子（虽然我现在仍然在学），以前我也是这样的，无脑开监控
慢慢来。
这次先给你个提示：关键文件已经在你给的日志里体现出来了（不是标红部分，范围够小了吧），跟一下那个文件的行为就好，只不过程序后续的行为如果你经验够多的话完全不需要跟完整行为。

显示全部楼层 · 发表于 2016-9-4 17:51:24

XywCloud 发表于 2016-9-4 17:46
很像我以前的样子（虽然我现在仍然在学），以前我也是这样的，无脑开监控
慢慢来。
这次先给你个提示： ...

好的，但是之前那个JS后面没运行起来

显示全部楼层 · 发表于 2016-9-4 17:59:23

诺顿文件信誉未知，运行过诺顿，原程序运行一段时间后自动退出，代之以“client32.exe”

显示全部楼层 · 发表于 2016-9-4 18:02:08

我要打十個发表于 2016-9-4 17:51
好的，但是之前那个JS后面没运行起来

我这边能跑起来啊
JS脚本里有Sleep函数，休眠50秒，要想加快速度的话把那条语句删了。
单独跑那个JS脚本也没问题的

显示全部楼层 · 发表于 2016-9-4 18:06:28

XywCloud 发表于 2016-9-4 18:02
我这边能跑起来啊
JS脚本里有Sleep函数，休眠50秒，要想加快速度的话把那条语句删了。
单独跑那个JS脚 ...

大大好崇拜你
听说你还是360的攻城狮！！！

显示全部楼层 · 发表于 2016-9-4 18:18:38

我要打十個发表于 2016-9-4 18:06
大大好崇拜你
听说你还是360的攻城狮！！！

从哪儿听到的这个消息...表示根本不是360的工程师【虽然卡饭这坛子里还真有360的人】

显示全部楼层 · 发表于 2016-9-4 18:22:28

直接KILL

显示全部楼层 · 发表于 2016-9-4 18:24:50

BHHZDQL 发表于 2016-9-4 18:22
直接KILL

双后缀统统KO

显示全部楼层 · 发表于 2016-9-4 18:26:11

我要打十個发表于 2016-9-4 18:24
双后缀统统KO

这程序居然有数字签名
如果不这样干
很容易放过了
还启动了ping和cmd

[病毒样本] Price.jpg.exe（有数签！）