远控木马

显示全部楼层 · 发表于 2017-1-6 23:36:48

vm001 发表于 2017-1-6 22:01
850这个好像哈勃某些火眼跑的准确

为啥是某些啊

显示全部楼层 · 发表于 2017-1-6 23:40:55

qwe12301 发表于 2017-1-6 23:36
为啥是某些啊

打错字了，是哈勃好像没有火眼分析的准确

显示全部楼层 · 发表于 2017-1-6 23:44:53

vm001 发表于 2017-1-6 23:40
打错字了，是哈勃好像没有火眼分析的准确

哦

显示全部楼层 · 发表于 2017-1-7 10:46:48

微点拦截

显示全部楼层 · 发表于 2017-1-7 11:50:32

本帖最后由狐狸糊涂于 2017-1-7 11:53 编辑

编辑掉,搞错样本了

显示全部楼层 · 发表于 2017-1-9 10:23:49

eset
name="C:\Users\MSI\Desktop\850lobby\850lobby.exe", threat="a variant of Generik.CGIFYRF trojan", action="", info=""

显示全部楼层 · 发表于 2017-1-10 14:32:04

其实没啥行为，但是呢，远控也都这样
首先在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下建立一个项，并命名为6666 mid
里面的键的键值，就是木马首次运行的时间
然后下载真正的安装包到C盘根目录下
然后复制自身到当前用户\「开始」菜单\程序\启动目录下，并命名为5c870673f62130316f3f6a11c214f36b.exe实现开机自启
最后呢，运行真正的安装程序
其实远控也就这一套，毫无新意，不过我顺着微歩在线查了查，好像很有意思
喜欢的可以看看可视分析的情报网，https://x.threatbook.cn/report/s ... f61fd-1484020930324

显示全部楼层 · 发表于 2017-1-10 15:32:16

kill

[病毒样本] 远控木马

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块