被这个东西监控了，360认证的，但是是个马。估计疏忽了。求分析。

显示全部楼层 · 发表于 2017-10-21 16:44:31

卡巴MISS

显示全部楼层 · 发表于 2017-10-21 16:50:23

本帖最后由 ELOHIM 于 2017-10-21 16:53 编辑

SeDebugPrivilege Desktop-W SOFTWARE\Microsoft\Windows\CurrentVersion\Run 内存中发现老程序第一步: 卸载老的 UNINSTALL flag KEEP nflag 1 exactsetupfile  第三步: 检查contact.ini InitFoxmailPos  第四步:InstallClient Contact.ini wlg_client_svc.exe;wlg_contact.exe  wlg_client_svc.exe  wlg_netmon.exe;wlg_contact.exe;wlg_keep.exe wlg_keep.exe wlg_netmon.exe  第二步: 开始安装 open zlib.dll 启动contact wlg_contact.exe spy9.map \setup.tmp.tmp  %u  formsi  DRIVER  ver DOMAIN  PORT 0 SERVER  IP  0.0.0.0 _cloud( _port(  ) _ip( _oldqq  _mac \clientwlg  \public \Users  ClientWlg\  \ UninstallOldClient  Pre_Save debug WLG_RCTRL_SERVER Remote Control Server "%s" -service rctrl_server.exe CLIENT  >]  [<  P2PSVR  cloud WLG Network Service InstallAgent finclean.exe PATH skype_data.ini  history_data\ APPDATA Volatile Environment ; *.exe \drivers\Wlgdrv_hook.sys driver\Wlgdrv_hook.sys  Group Streams Drivers Start ErrorControl SYSTEM\CurrentControlSet\Services\Wlgdrv_hook Type packet10.dll packet.dll  packet\64\Installer.exe packet\32\Installer.exe rundll32.exe setupapi,InstallHinfSection DefaultInstall 132 .\filter_64\wlg_minispy.inf  setupapi,InstallHinfSection DefaultInstall 132 .\filter_32\wlg_minispy.inf  wlg_minispy 4 3 %stmp-%u.Z  2 error ]]]]]]]] [[[[[[[[ wlg_ctrl.exe SetProcessItem  wlg_filemon64.exe wlg_filemon32.exe wlg_filemon.exe zip finish  zip.ExtractFile zip.Open wlgdev32.exe;wlgdev64.exe WlgPj.exe;WlgSrc.exe Valuation.exe shellnotify8.exe keepwlgclient.exe SysWlg.exe;keepwlgclient.exe;WlgPj.exe;WlgSrc.exe updatemainprogram.tmp SysWlg.exe  \seagent.exe \SSystem.exe \winbedrv.dll keepprog.exe iCall.dll (2) GetWordNT.dll lanagent.exe WlgSrc.exe  WlgPj.exe dsrc.exe;intnet.exe;seagent.exe;ssystem.exe;KeepProg.exe;LanAgent.exe;SysWlg.exe;keepwlgclient.exe;WlgPj.exe;WlgSrc.exe;winipcfg.exe;arptable.exe;sentrybar.exe;shellnotify8.exe KeepProg SSystem ClientWlg\updatemainprogram.tmp test.tmp System\ \Common Files\  Mails\index @ storage\* Data index %d  Data\Mails\index SOFTWARE\Classes\foxfile\shell\open\command \foxmail_data.ini history_data 囱A    .H
%s
%12lu
  %12lu
  Read Error  wb  rb  SETUPFILE_DBFAN %s%u.UZ *.* SPY9_MUTEX_NAME Global\SPY_FILE_MAP_V09 sex                                              adult                                           playboy                                        hardcore                                        softcore                                        sensual                                        xxx                                              start...

c:\wlg_debug.txt          %s....[%s]
%H:%M:%S
end...
  0123456789. RtlGetVersion ntdll.dll kernel32 GetNativeSystemInfo wlg-contact wlg-remote  wlg-rcap wlg_rcap.exe wlg-ctrl FireWall_AddApp firewall.dll nickname prrocess.dat TM.exe  QQ.exe  QQprotect.exe chat1\IMHKSDK.dll EndIMMonitorEx  chat1\  IMHKSPlugMessage_.dll IMHKSDK64.dll IMHKDrvSDK64.dll IMHKCore64.dll  IMHKDrv86.sys IMHKDrv64.sys IMHKSDK.dll IMHKDrvSDK.dll  IMHKCore.dll oldsignsys\IMHKDrv64.sys chat1\IMHKDrv64.sys oldsignsys\netflt64.sys driver\netflt64.sys oldsignsys\wlg_minispy.sys  filter_64\wlg_minispy.sys .B ?B              囱A    .?AVCObject@@ 囱A    .?AVCFileFind@@ 囱A    .?AVCFile@@    囱A    .?AVCException@@       囱A    .?AVCFileException@@ 8YA    概A    8燗 @茿    囱A    .?AVCStringArray@@    囱A    .PAVCException@@       囱A    .?AVCPtrArray@@ 囱A    .?AVCSyncObject@@    囱A    .PAX 囱A    .PAVCObject@@ 囱A    .PAVCSimpleException@@  囱A    .PAVCMemoryException@@  囱A    .?AVCSimpleException@@  囱A    .?AVCMemoryException@@  囱A    .?AVCNotSupportedException@@ 囱A    .PAVCFileException@@ 囱A    .?AVCNoTrackObject@@ 囱A    .?AV_AFX_THREAD_STATE@@ 囱A    .?AVAFX_MODULE_STATE@@  囱A    .?AVAFX_MODULE_THREAD_STATE@@ 囱A    .?AV_AFX_BASE_MODULE_STATE@@ 囱A    .PAVCArchiveException@@ 囱A    .?AUCThreadData@@    囱A    .?AVCCmdTarget@@       囱A    .?AV_AFX_CTL3D_STATE@@  囱A    .?AVCMapPtrToPtr@@    囱A    .?AVCArchiveException@@ 囱A    .?AVCDC@@    囱A    .?AVCGdiObject@@       囱A    .?AVCTempDC@@ 囱A    .?AVCTempGdiObject@@ 囱A    .?AVCResourceException@@       囱A    .?AVCUserException@@ 囱A    .?AVCWnd@@    囱A    .?AVCCmdUI@@ 囱A    .?AVCTestCmdUI@@       囱A    .?AVCTempWnd@@   囱A    .?AVCHandleMap@@ 囱A    .?AV_AFX_WIN_STATE@@ 囱A    .?AVCMenu@@    囱A    .?AVCTempMenu@@  ?                   囱A    .?AVtype_info@@ z

疑似盗QQ。建议楼主更改QQ 密码。等真大神来分析看看。

远控程序为：Remote Control Server "%s" -service rctrl_server.exe CLIENT >]

楼主可以使用 sysinternalssuite 工具包里面的 autoruns.exe 将其删除，并且有几个 sys 驱动一起处理。及时更改 QQ密码。

显示全部楼层 · 发表于 2017-10-21 17:40:13

发布了图，vt扫描结果

CrowdStrike Falcon

The engine only includes the Falcon machine learning module.
malicious_confidence_80% (W)

Cylance

Unsafe

eGambit

malicious_confidence_90%

Endgame

malicious (high confidence)

TrendMicro-HouseCall

Suspicious_GEN.F47V1021

显示全部楼层 · 发表于 2017-10-21 17:41:07

莒县小哥发表于 2017-10-21 11:52

奇怪，我的sep没报

显示全部楼层 · 发表于 2017-10-21 21:10:25

这个难道不是http://www.softbar.com/ ？

显示全部楼层 · 发表于 2017-10-21 21:40:36

本帖最后由 ELOHIM 于 2017-10-21 21:43 编辑

B100D1E55 发表于 2017-10-21 21:10
这个难道不是http://www.softbar.com/ ？

看起来一定是。。

我还以为是楼主描述的：远控。。

通过官方驱动：wlgcap.sys 这个可以证明是一家了。。

谢谢。

显示全部楼层 · 发表于 2017-10-21 22:03:32

ELOHIM 发表于 2017-10-21 21:40
看起来一定是。。
我还以为是楼主描述的：远控。。

一般rat行为不会这么多，装什么pcap之类的。。。从VT报的情况来看应该做过加白处理，剩下都是小众误报王（egambit是连官方steam安装包都会报毒的引擎）

当然用这种软件作恶也是可以的，主要看怎么用

显示全部楼层 · 发表于 2017-10-21 22:06:25

avast miss
不过很可疑的样子

显示全部楼层 · 发表于 2017-10-21 22:11:47

本帖最后由 ELOHIM 于 2017-10-21 22:28 编辑

B100D1E55 发表于 2017-10-21 22:03
一般rat行为不会这么多，装什么pcap之类的。。。从VT报的情况来看应该做过加白处理，剩下都是小众误报王 ...

感谢解答。。

————————————————————————
@B100D1E55 刚才下载官方文件看了一下。
就是给免费的 Teamviewer.exe 套个壳卖钱而已。
他们重命名为：RemoteT.exe。
图标都没有改。
不知道两家公司有没有合作啊。。。。

显示全部楼层 · 发表于 2017-10-22 08:12:51

dr.web 报毒

[可疑文件] 被这个东西监控了，360认证的，但是是个马。估计疏忽了。求分析。

本帖子中包含更多资源

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源