收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 一个批处理,不知道是个啥,在启动项目里
1234下一页
返回列表 发新帖
楼主: HEMM
 收起左侧

[可疑文件] 一个批处理,不知道是个啥,在启动项目里

[复制链接]
Agu
发表于 2017-6-16 13:08:39 | 显示全部楼层
本帖最后由 Agu 于 2017-6-16 13:10 编辑

雙擊後下載兩個VBS檔

https://www.virustotal.com/en/fi ... nalysis/1497589779/
https://www.virustotal.com/en/fi ... nalysis/1497589770/

Panda - Miss

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

随便注册
发表于 2017-6-16 14:15:47 | 显示全部楼层
批处理和楼上的附件都有类似chr(strs(i))语句,猜测数字就是普通的字符编码,批处理可能有字数限制才分行。
http://www.ascii.net.cn/

用楼上的附件转了下,但是不懂VBS,而且里面有带负号的,数字也超大,转不出来。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

kepuzhishi
发表于 2017-6-16 16:50:04 | 显示全部楼层
bbs2811125 发表于 2017-6-16 11:53
求教一下你这个代码文本是怎么复制的?可以内部滚轮查看

[mw_shl_code=javascript,true]console.log("回复框点插入代码<>")
[/mw_shl_code]

评分

参与人数 1人气 +1 收起 理由
bbs2811125 + 1 感谢解答: )

查看全部评分

回复

举报

schumi小粉
发表于 2017-6-16 16:53:44 | 显示全部楼层
双击,HIPS提示隔离,隔离后,剩下一个VBS衍生物,然后双击VBS衍生物后,云信誉隔离!



Emsisoft Anti-Malware - Version 2017.5
BB log

日期        PID        程序        事件        威胁名称       
2017/6/16 16:51:24        1188        C:\Users\Turbo X\Desktop\Warcraft\Msg.vbs        云端:隔离        Behavior.Spyware       
2017/6/16 16:51:12        2188        C:\Users\Turbo X\Desktop\Warcraft\Warcraft.bat        用户判断:隔离        Behavior.CodeInjector       
2017/6/14 15:40:18        0        C:\Windows\Installer\MSI3861.tmp        添加规则               
2017/6/14 15:40:18        2468        C:\Windows\Installer\MSI3861.tmp        云端:允许,并新建规则        Behavior.HiddenInstallation       
2017/6/14 15:40:11        0        C:\Windows\Installer\MSI22DC.tmp        添加规则               
2017/6/14 15:40:11        1248        C:\Windows\Installer\MSI22DC.tmp        云端:允许,并新建规则        Behavior.HiddenInstallation       
2017/6/14 15:40:06        0        C:\Windows\Installer\MSI11BB.tmp        添加规则               
2017/6/14 15:40:06        3028        C:\Windows\Installer\MSI11BB.tmp        云端:允许,并新建规则        Behavior.HiddenInstallation




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

HEMM
 楼主| 发表于 2017-6-16 17:24:05 | 显示全部楼层
电脑发烧友 发表于 2017-6-16 12:21
卡巴刚刚发完疯,过来发帖了。没有删除样本,但是衍生物都删光了(还好没把我的隐私删了)

你的隐私是啥?为什么卡巴要删除你的隐私?
回复

举报

HEMM
 楼主| 发表于 2017-6-16 17:24:45 | 显示全部楼层
ELOHIM 发表于 2017-6-16 13:03
maomao 你什么时候发现的?玩魔兽?
这个脚本貌似是有问题的。
MSE不管。

你猜~
嘻嘻!反正我这边这货是死的~
回复

举报

HEMM
 楼主| 发表于 2017-6-16 17:26:01 | 显示全部楼层
schumi小粉 发表于 2017-6-16 16:53
双击,HIPS提示隔离,隔离后,剩下一个VBS衍生物,然后双击VBS衍生物后,云信誉隔离!

对吧!这个东西很可疑吧~
回复

举报

bbs2811125
发表于 2017-6-16 19:02:44 | 显示全部楼层
本帖最后由 bbs2811125 于 2017-6-16 19:05 编辑

回复错帖子了,编辑掉
回复

举报

引领五基生活
发表于 2017-6-16 19:33:41 | 显示全部楼层
卡巴扫描miss

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

沧桑浪子
发表于 2017-6-16 20:31:53 | 显示全部楼层
360安全卫士右键隔离沙箱双击

360杀毒实时防护日志

时间                    防护说明                                                                  处理结果                                                        文件
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
2017-06-16 20:30:37     恶意软件(virus.bat.warcraft.a)                                            已删除此文件,如果您发现误删,可从隔离区恢复此文件。        c:\360sandbox\shadow\documents and settings\administrator\local settings\temp\360zip$temp\360$0\warcraft.bat

回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-5 11:14 , Processed in 0.104403 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表