楼主: 举报木马
收起左侧

[可疑文件] 被这个东西监控了,360认证的,但是是个马。估计疏忽了。求分析。

  [复制链接]
Jerry.Lin
发表于 2017-10-21 16:44:31 | 显示全部楼层
卡巴MISS

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ELOHIM
发表于 2017-10-21 16:50:23 | 显示全部楼层
本帖最后由 ELOHIM 于 2017-10-21 16:53 编辑
SeDebugPrivilege    Desktop-W   SOFTWARE\Microsoft\Windows\CurrentVersion\Run   内存中发现老程序    第一步: 卸载老的    UNINSTALL   flag    KEEP    nflag   1   exactsetupfile  第三步: 检查contact.ini InitFoxmailPos  第四步:InstallClient    Contact.ini wlg_client_svc.exe;wlg_contact.exe  wlg_client_svc.exe  wlg_netmon.exe;wlg_contact.exe;wlg_keep.exe wlg_keep.exe    wlg_netmon.exe  第二步: 开始安装    open    zlib.dll    启动contact wlg_contact.exe spy9.map    \setup.tmp.tmp  %u  formsi  DRIVER  ver DOMAIN  PORT    0   SERVER  IP  0.0.0.0 _cloud( _port(  )   _ip(    _oldqq  _mac    \clientwlg  \public \Users  ClientWlg\  \   UninstallOldClient  Pre_Save    debug   WLG_RCTRL_SERVER    Remote Control Server   "%s" -service   rctrl_server.exe    CLIENT  >]  [<  P2PSVR  cloud   WLG Network Service InstallAgent    finclean.exe    PATH    skype_data.ini  history_data\   APPDATA Volatile Environment    ;   *.exe   \drivers\Wlgdrv_hook.sys    driver\Wlgdrv_hook.sys  Group   Streams Drivers Start   ErrorControl    SYSTEM\CurrentControlSet\Services\Wlgdrv_hook   Type    packet10.dll    packet.dll  packet\64\Installer.exe packet\32\Installer.exe rundll32.exe    setupapi,InstallHinfSection DefaultInstall 132 .\filter_64\wlg_minispy.inf  setupapi,InstallHinfSection DefaultInstall 132 .\filter_32\wlg_minispy.inf  wlg_minispy 4   3   %stmp-%u.Z  2   error   ]]]]]]]]    [[[[[[[[    wlg_ctrl.exe    SetProcessItem  wlg_filemon64.exe   wlg_filemon32.exe   wlg_filemon.exe zip finish  zip.ExtractFile zip.Open    wlgdev32.exe;wlgdev64.exe   WlgPj.exe;WlgSrc.exe    Valuation.exe   shellnotify8.exe    keepwlgclient.exe   SysWlg.exe;keepwlgclient.exe;WlgPj.exe;WlgSrc.exe   updatemainprogram.tmp   SysWlg.exe  \seagent.exe    \SSystem.exe    \winbedrv.dll   keepprog.exe    iCall.dll   (2) GetWordNT.dll   lanagent.exe    WlgSrc.exe  WlgPj.exe   dsrc.exe;intnet.exe;seagent.exe;ssystem.exe;KeepProg.exe;LanAgent.exe;SysWlg.exe;keepwlgclient.exe;WlgPj.exe;WlgSrc.exe;winipcfg.exe;arptable.exe;sentrybar.exe;shellnotify8.exe    KeepProg    SSystem ClientWlg\updatemainprogram.tmp test.tmp    System\ \Common Files\  Mails\index @   storage\*   Data    index   %d  Data\Mails\index    SOFTWARE\Classes\foxfile\shell\open\command \foxmail_data.ini   history_data    囱A     .H  
%s
    %12lu
  %12lu
  Read Error  wb  rb  SETUPFILE_DBFAN %s%u.UZ *.* SPY9_MUTEX_NAME Global\SPY_FILE_MAP_V09 sex                                               adult                                             playboy                                           hardcore                                          softcore                                          sensual                                           xxx                                                 start...

    c:\wlg_debug.txt            %s....[%s]
   %H:%M:%S   
end...
  0123456789. RtlGetVersion   ntdll.dll   kernel32    GetNativeSystemInfo wlg-contact wlg-remote  wlg-rcap    wlg_rcap.exe    wlg-ctrl    FireWall_AddApp firewall.dll    nickname    prrocess.dat    TM.exe  QQ.exe  QQprotect.exe   chat1\IMHKSDK.dll   EndIMMonitorEx  chat1\  IMHKSPlugMessage_.dll   IMHKSDK64.dll   IMHKDrvSDK64.dll    IMHKCore64.dll  IMHKDrv86.sys   IMHKDrv64.sys   IMHKSDK.dll IMHKDrvSDK.dll  IMHKCore.dll    oldsignsys\IMHKDrv64.sys    chat1\IMHKDrv64.sys oldsignsys\netflt64.sys driver\netflt64.sys oldsignsys\wlg_minispy.sys  filter_64\wlg_minispy.sys    .B ?B                 囱A     .?AVCObject@@   囱A     .?AVCFileFind@@ 囱A     .?AVCFile@@     囱A     .?AVCException@@        囱A     .?AVCFileException@@    8YA     概A        8燗 @茿     囱A     .?AVCStringArray@@      囱A     .PAVCException@@        囱A     .?AVCPtrArray@@ 囱A     .?AVCSyncObject@@       囱A     .PAX    囱A     .PAVCObject@@   囱A     .PAVCSimpleException@@  囱A     .PAVCMemoryException@@  囱A     .?AVCSimpleException@@  囱A     .?AVCMemoryException@@  囱A     .?AVCNotSupportedException@@    囱A     .PAVCFileException@@    囱A     .?AVCNoTrackObject@@    囱A     .?AV_AFX_THREAD_STATE@@ 囱A     .?AVAFX_MODULE_STATE@@  囱A     .?AVAFX_MODULE_THREAD_STATE@@   囱A     .?AV_AFX_BASE_MODULE_STATE@@    囱A     .PAVCArchiveException@@ 囱A     .?AUCThreadData@@       囱A     .?AVCCmdTarget@@        囱A     .?AV_AFX_CTL3D_STATE@@  囱A     .?AVCMapPtrToPtr@@      囱A     .?AVCArchiveException@@ 囱A     .?AVCDC@@       囱A     .?AVCGdiObject@@        囱A     .?AVCTempDC@@   囱A     .?AVCTempGdiObject@@    囱A     .?AVCResourceException@@        囱A     .?AVCUserException@@    囱A     .?AVCWnd@@      囱A     .?AVCCmdUI@@    囱A     .?AVCTestCmdUI@@        囱A     .?AVCTempWnd@@      囱A     .?AVCHandleMap@@       囱A     .?AV_AFX_WIN_STATE@@    囱A     .?AVCMenu@@     囱A     .?AVCTempMenu@@  ?                    囱A     .?AVtype_info@@ z

疑似盗QQ。建议楼主更改QQ 密码。等真大神来分析看看。

远控程序为:Remote Control Server   "%s" -service   rctrl_server.exe    CLIENT  >]

楼主可以使用 sysinternalssuite 工具包里面的 autoruns.exe 将 其删除,并且有几个 sys 驱动一起处理。及时更改 QQ密码。
ewader
发表于 2017-10-21 17:40:13 | 显示全部楼层
发布了图,vt扫描结果
CrowdStrike Falcon
The engine only includes the Falcon machine learning module.
malicious_confidence_80% (W)

Cylance
Unsafe

eGambit
malicious_confidence_90%

Endgame
malicious (high confidence)

TrendMicro-HouseCall
Suspicious_GEN.F47V1021


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ewader
发表于 2017-10-21 17:41:07 | 显示全部楼层

奇怪,我的sep没报
B100D1E55
发表于 2017-10-21 21:10:25 | 显示全部楼层
这个难道不是http://www.softbar.com/

评分

参与人数 1人气 +1 收起 理由
ELOHIM + 1 感谢解答: )

查看全部评分

ELOHIM
发表于 2017-10-21 21:40:36 | 显示全部楼层
本帖最后由 ELOHIM 于 2017-10-21 21:43 编辑

看起来一定是。。
我还以为是楼主描述的:远控。。

通过官方驱动:wlgcap.sys 这个可以证明是一家了。。

谢谢。

B100D1E55
发表于 2017-10-21 22:03:32 | 显示全部楼层
ELOHIM 发表于 2017-10-21 21:40
看起来一定是。。
我还以为是楼主描述的:远控。。

一般rat行为不会这么多,装什么pcap之类的。。。从VT报的情况来看应该做过加白处理,剩下都是小众误报王(egambit是连官方steam安装包都会报毒的引擎)

当然用这种软件作恶也是可以的,主要看怎么用
DF快递
发表于 2017-10-21 22:06:25 | 显示全部楼层
avast miss
不过很可疑的样子

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ELOHIM
发表于 2017-10-21 22:11:47 | 显示全部楼层
本帖最后由 ELOHIM 于 2017-10-21 22:28 编辑
B100D1E55 发表于 2017-10-21 22:03
一般rat行为不会这么多,装什么pcap之类的。。。从VT报的情况来看应该做过加白处理,剩下都是小众误报王 ...

感谢解答。。


————————————————————————
@B100D1E55 刚才下载官方文件看了一下。
就是给免费的 Teamviewer.exe 套个壳卖钱而已。
他们重命名为:RemoteT.exe。
图标都没有改。
不知道两家公司有没有合作啊。。。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
王辉
发表于 2017-10-22 08:12:51 | 显示全部楼层
dr.web 报毒

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 01:48 , Processed in 0.102393 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表