很特殊的可疑样本？在线等结果

显示全部楼层 · 发表于 2016-11-16 17:04:39

本帖最后由 aphorism 于 2016-11-16 17:09 编辑

https://x.threatbook.cn/report/4 ... 014e1-1479286912730

https://virusscan.jotti.org/en-US/filescanjob/mwpvcrhzct

特殊在于它是命令行格式

显示全部楼层 · 发表于 2016-11-16 17:21:00

只一个

NANO-Antivirus Trojan.Script.Hosts.deehbk 20161115

显示全部楼层 · 发表于 2016-11-16 17:32:10

wd监控杀

显示全部楼层 · 发表于 2016-11-16 17:44:32

本帖最后由 fireherman 于 2016-11-16 17:47 编辑

应该是bat文件（批处理文件）吧，本来都不抱太大期望，想不到……

看命名，应该就是修改Hosts文件。

ESET 右键扫描 kill

[mw_shl_code=css,true]正在扫描日志
病毒库版本: 14450 (20161115)
日期: 2016/11/16 时间: 17:43:05
已扫描的磁盘、文件夹和文件: Z:\TEMP\观看视频补丁20151025.rar
Z:\TEMP\观看视频补丁20151025.rar > RAR > 视频资源观看补丁20151025.bat - BAT/HostsChanger.A 潜在的不安全应用程序 - 扫描完成后再选择处理方式
Z:\TEMP\观看视频补丁20151025.rar > RAR > 视频资源观看补丁20151025.bat - BAT/HostsChanger.A 潜在的不安全应用程序 - 已删除
已扫描的对象数: 3
发现的威胁数: 1
已清除对象数: 1
完成时间: 17:43:27 总扫描时间: 22 秒 (00:00:22)[/mw_shl_code]

显示全部楼层 · 发表于 2016-11-16 17:49:40

修改host而已，不是病毒

[mw_shl_code=css,true]@echo off
echo 该补丁绝对安全，请注意你的杀毒软件提示，一定要允许
echo.
echo.
echo 开始文件备份
@Xcopy %Windir%\system32\drivers\etc\hosts %Windir%\system32\drivers\etc\hosts.bak\ /d /c /i /y
echo 文件备份完毕
echo.
echo.
echo 开始安装补丁
@echo.>>%Windir%\system32\drivers\etc\hosts
@echo 121.12.168.107 w2w1.tudou.com>>%Windir%\System32\drivers\etc\hosts
@echo 121.12.168.107 w2w2.tudou.com>>%Windir%\System32\drivers\etc\hosts
@echo 121.12.168.107 w2w3.tudou.com>>%Windir%\System32\drivers\etc\hosts
@echo 121.12.168.107 w2w4.tudou.com>>%Windir%\System32\drivers\etc\hosts
@echo 121.12.168.107 w2w5.tudou.com>>%Windir%\System32\drivers\etc\hosts
@echo 121.12.168.107 w2w6.tudou.com>>%Windir%\System32\drivers\etc\hosts
@echo 121.12.168.107 w2w7.tudou.com>>%Windir%\System32\drivers\etc\hosts
@echo 121.12.168.107 w2w8.tudou.com>>%Windir%\System32\drivers\etc\hosts
@echo 121.12.168.107 w2w9.tudou.com>>%Windir%\System32\drivers\etc\hosts
@echo 121.12.168.107 w2w10.tudou.com>>%Windir%\System32\drivers\etc\hosts
echo 补丁安装完成
echo.
echo.
echo 开始更新DNS缓存
@ipconfig /flushdns
echo 刷新DNS完成
echo.
echo.
echo 补丁已安装完成，请关闭浏览器，重新打开网页即可观看，遇到补丁无效时请尝试重启！
echo 谢谢您的支持！如果需恢复，请运行恢复补丁！
echo 按任意键退出！
@pause > nul
@exit[/mw_shl_code]

显示全部楼层 · 发表于 2016-11-16 17:50:12

这个貌似是改了个hosts
命令行如下：
[mw_shl_code=xml,true]@echo off
echo 该补丁绝对安全，请注意你的杀毒软件提示，一定要允许
echo.
echo.
echo 开始文件备份
@Xcopy %Windir%\system32\drivers\etc\hosts %Windir%\system32\drivers\etc\hosts.bak\ /d /c /i /y
echo 文件备份完毕
echo.
echo.
echo 开始安装补丁
@echo.>>%Windir%\system32\drivers\etc\hosts
@echo 121.12.168.107 w2w1.tudou.com>>%Windir%\System32\drivers\etc\hosts
@echo 121.12.168.107 w2w2.tudou.com>>%Windir%\System32\drivers\etc\hosts
@echo 121.12.168.107 w2w3.tudou.com>>%Windir%\System32\drivers\etc\hosts
@echo 121.12.168.107 w2w4.tudou.com>>%Windir%\System32\drivers\etc\hosts
@echo 121.12.168.107 w2w5.tudou.com>>%Windir%\System32\drivers\etc\hosts
@echo 121.12.168.107 w2w6.tudou.com>>%Windir%\System32\drivers\etc\hosts
@echo 121.12.168.107 w2w7.tudou.com>>%Windir%\System32\drivers\etc\hosts
@echo 121.12.168.107 w2w8.tudou.com>>%Windir%\System32\drivers\etc\hosts
@echo 121.12.168.107 w2w9.tudou.com>>%Windir%\System32\drivers\etc\hosts
@echo 121.12.168.107 w2w10.tudou.com>>%Windir%\System32\drivers\etc\hosts
echo 补丁安装完成
echo.
echo.
echo 开始更新DNS缓存
@ipconfig /flushdns
echo 刷新DNS完成
echo.
echo.
echo 补丁已安装完成，请关闭浏览器，重新打开网页即可观看，遇到补丁无效时请尝试重启！
echo 谢谢您的支持！如果需恢复，请运行恢复补丁！
echo 按任意键退出！
@pause > nul
@exit[/mw_shl_code]
网址和ip我这里都ping不通，ip.cn显示为东莞电信

显示全部楼层 · 发表于 2016-11-16 17:54:13

本帖最后由 fireherman 于 2016-11-16 18:03 编辑

被清理的是这个文件：视频资源观看补丁20151025.bat

[mw_shl_code=css,true]@echo off
echo 该补丁绝对安全，请注意你的杀毒软件提示，一定要允许
echo.
echo.
echo 开始文件备份
@Xcopy %Windir%\system32\drivers\etc\hosts %Windir%\system32\drivers\etc\hosts.bak\ /d /c /i /y
echo 文件备份完毕
echo.
echo.
echo 开始安装补丁
@echo.>>%Windir%\system32\drivers\etc\hosts
@echo 121.12.168.107 w2w1.tudou.com>>%Windir%\System32\drivers\etc\hosts
@echo 121.12.168.107 w2w2.tudou.com>>%Windir%\System32\drivers\etc\hosts
@echo 121.12.168.107 w2w3.tudou.com>>%Windir%\System32\drivers\etc\hosts
@echo 121.12.168.107 w2w4.tudou.com>>%Windir%\System32\drivers\etc\hosts
@echo 121.12.168.107 w2w5.tudou.com>>%Windir%\System32\drivers\etc\hosts
@echo 121.12.168.107 w2w6.tudou.com>>%Windir%\System32\drivers\etc\hosts
@echo 121.12.168.107 w2w7.tudou.com>>%Windir%\System32\drivers\etc\hosts
@echo 121.12.168.107 w2w8.tudou.com>>%Windir%\System32\drivers\etc\hosts
@echo 121.12.168.107 w2w9.tudou.com>>%Windir%\System32\drivers\etc\hosts
@echo 121.12.168.107 w2w10.tudou.com>>%Windir%\System32\drivers\etc\hosts
echo 补丁安装完成
echo.
echo.
echo 开始更新DNS缓存
@ipconfig /flushdns
echo 刷新DNS完成
echo.
echo.
echo 补丁已安装完成，请关闭浏览器，重新打开网页即可观看，遇到补丁无效时请尝试重启！
echo 谢谢您的支持！如果需恢复，请运行恢复补丁！
echo 按任意键退出！
@pause > nul
@exit[/mw_shl_code]

指向的IP：

土豆：

显示全部楼层 · 发表于 2016-11-16 18:04:52

红伞扫描miss

显示全部楼层 · 发表于 2016-11-16 18:52:11

管家扫描miss

显示全部楼层 · 发表于 2016-11-16 19:18:53

欧阳宣发表于 2016-11-16 17:21
只一个

NANO-Antivirus Trojan.Script.Hosts.deehbk 20161115

eset也报了

[可疑文件] 很特殊的可疑样本？在线等结果

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源