收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 一个批处理,不知道是个啥,在启动项目里
1234下一页
返回列表 发新帖
楼主: HEMM
 收起左侧

[可疑文件] 一个批处理,不知道是个啥,在启动项目里

[复制链接]
HEMM
 楼主| 发表于 2017-6-16 21:40:46 | 显示全部楼层
本帖最后由 HEMM 于 2017-6-16 21:41 编辑
bbs2811125 发表于 2017-6-16 19:02
回复错帖子了,编辑掉

没编辑前素不素也拿卡巴扫了扫?
好吧!居然是火绒果......
回复

举报

ELOHIM
发表于 2017-6-16 21:43:00 | 显示全部楼层
HEMM 发表于 2017-6-16 17:24
你猜~
嘻嘻!反正我这边这货是死的~

额,好吧。
没执行就好。
很多人都是开机以后查看启动项的,
其实在关机以前需要瞄一眼。
回复

举报

HEMM
 楼主| 发表于 2017-6-16 21:48:33 | 显示全部楼层
ELOHIM 发表于 2017-6-16 21:43
额,好吧。
没执行就好。
很多人都是开机以后查看启动项的,

没法在我这里执行......
虽然这玩意我是先下载后发现启动项内多了个介个,但是基本上无法运行........下载前我是打过底的,BUG豆写了些不常用的变态规则。
虽然我是心比较大,发现的也晚,但是没多出任何东西到我机器内,就这个光杆一个在启动项内...
回复

举报

ELOHIM
发表于 2017-6-16 21:49:52 | 显示全部楼层
HEMM 发表于 2017-6-16 21:48
没法在我这里执行......
虽然这玩意我是先下载后发现启动项内多了个介个,但是基本上无法运行........下 ...


OK,可控就好。
然后把开机启动项加权,禁止修改。
回复

举报

HEMM
 楼主| 发表于 2017-6-16 21:53:45 | 显示全部楼层
ELOHIM 发表于 2017-6-16 21:49
OK,可控就好。
然后把开机启动项加权,禁止修改。

没!但我把其他的彻底禁止了........例如......*\?.bat.....*.vbs等等等等.....
回复

举报

ELOHIM
发表于 2017-6-16 22:04:09 | 显示全部楼层
HEMM 发表于 2017-6-16 21:53
没!但我把其他的彻底禁止了........例如......*\?.bat.....*.vbs等等等等.....


哈哈。。不错。
回复

举报

Xi_Mi
发表于 2017-6-16 22:05:28 | 显示全部楼层
360 miss
金刚分析结果:高危
http://tcasoft.com/tcaCloudPlatf ... e07c45481c7&sk=

评分

参与人数 1人气 +1 收起 理由
HEMM + 1 感谢支持,欢迎常来: )

查看全部评分

回复

举报

HEMM
 楼主| 发表于 2017-6-16 22:06:03 | 显示全部楼层
Xi_Mi 发表于 2017-6-16 22:05
360 miss
金刚分析结果:高危
http://tcasoft.com/tcaCloudPlatform/report/toViewReport.action?rid=475 ...

你懂的可真多~
回复

举报

安全守护者
头像被屏蔽
发表于 2017-6-17 12:23:54 | 显示全部楼层
[mw_shl_code=css,true]文件检测评级:
未发现风险
文件名称: Warcraft.zip
基本信息
文件名称:       
Warcraft.zip
MD5:        bcde54b5d3b93cb71bc5895a81a216f5
文件类型:        zip
上传时间:        2017-06-17 12:20:24
出品公司:        N/A
版本:        N/A
壳或编译器信息:        N/A
子文件信息:       
Warcraft.batdumpFile /  8b7dbb5d5b92c92e33efe6df7501b201 /  Unknown
Warcraft.bat /  8b7dbb5d5b92c92e33efe6df7501b201 /  Unknown
文件行为
行为描述:        修改BAT脚本文件
详情信息:       
C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe_7zdump\Msg.vbs ---> Offset = 0
C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe_7zdump\Msg.vbs ---> Offset = 180
C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe_7zdump\Msg.vbs ---> Offset = 360
C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe_7zdump\Msg.vbs ---> Offset = 540
C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe_7zdump\Msg.vbs ---> Offset = 720
C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe_7zdump\Msg.vbs ---> Offset = 895
C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe_7zdump\Msg.vbs ---> Offset = 1075
C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe_7zdump\Msg.vbs ---> Offset = 1255
C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe_7zdump\Msg.vbs ---> Offset = 1435
C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe_7zdump\Msg.vbs ---> Offset = 1615
C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe_7zdump\Msg.vbs ---> Offset = 1795
C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe_7zdump\Msg.vbs ---> Offset = 1975
C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe_7zdump\Msg.vbs ---> Offset = 2155
C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe_7zdump\Msg.vbs ---> Offset = 2335
C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe_7zdump\Msg.vbs ---> Offset = 2515
行为描述:        创建文件
详情信息:       
C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe_7zdump\Msg.vbs
行为描述:        查找文件
详情信息:       
FileName = C:\Documents and Settings
FileName = C:\Documents and Settings\Administrator
FileName = C:\Documents and Settings\Administrator\Local Settings
FileName = C:\Documents and Settings\Administrator\Local Settings\Temp
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe_7zdump
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe_7zdump\Warcraft.bat
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe_7zdump\function.*
FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe_7zdump\function
FileName = C:\Python27\function.*
FileName = C:\Python27\function
FileName = C:\Python27\Scripts\function.*
FileName = C:\Python27\Scripts\function
FileName = C:\WINDOWS\system32\function.*
FileName = C:\WINDOWS\system32\function
其他行为
行为描述:        窗口信息
详情信息:       
Pid = 672, Hwnd=0xc02ae, Text = C:\Windows\System32\cmd.exe, ClassName = ConsoleWindowClass.
[/mw_shl_code]
回复

举报

schumi小粉
发表于 2017-6-17 15:02:18 | 显示全部楼层
http://www.tcasoft.com/tcaCloudP ... f2bf7da3b89&sk=
回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-11-4 01:18 , Processed in 0.103812 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表