怀疑是恶意驱动

显示全部楼层 · 发表于 2016-12-21 17:21:59

本帖最后由 dg1vg4 于 2016-12-22 12:40 编辑

virscan没有一家引擎报毒，怀疑其恶意行为是通过修改注册表健值锁定IE主页。
而且奇怪的是执行的时间很诡异，貌似是概率性的，而且执行完貌似就自动退出进程了。
希望卡饭能有大神分析一下这个驱动的行为。
没错，就是那个臭名昭著的927927.cn锁主页，不知道这个驱动是否相关。
下面挂个和这个驱动有关的信息的链接：
http://www.stormcn.cn/post/1755.html

显示全部楼层 · 发表于 2016-12-21 17:27:15

VT 有两家

[mw_shl_code=css,true]Tencent Win32.Rootkit.Adware.Ssqa 20161221
Zillya Trojan.Kryptik.Win32.833832 20161220[/mw_shl_code]

显示全部楼层 · 发表于 2016-12-21 17:31:57

光是数字签名就很可疑。

显示全部楼层 · 发表于 2016-12-21 17:32:13

估计又是私-Fu登录器带的

显示全部楼层 · 发表于 2016-12-21 17:37:46

vm001 发表于 2016-12-21 17:32
估计又是私-Fu登录器带的

不，这个貌似和现在所谓老毛桃的U盘winpe一键ghost有点关系。

显示全部楼层 · 发表于 2016-12-21 17:44:23

别用virusscan了，你自己看看结果页的引擎日期都有多老了

显示全部楼层 · 发表于 2016-12-21 17:54:17

显示全部楼层 · 发表于 2016-12-21 17:59:35

skyboybone 发表于 2016-12-21 17:54

金山入库速度倒是挺快，之前全盘查杀什么也没扫出来。

显示全部楼层 · 发表于 2016-12-21 18:45:56

Mcafee MIS

显示全部楼层 · 发表于 2016-12-21 19:21:42

拜托，我想有人能做个详细的行为分析，这玩意到底是不是毒。

[可疑文件] 怀疑是恶意驱动

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源