学校电脑总会给U盘里创建这个文件夹(new folder和 Volume）Volume过360(已重传）

3228558

ELOHIM 发表于 2017-11-20 17:46
SCEP 杀附件2

报了什。。。么。。。毒。。。

ELOHIM

3228558 发表于 2017-11-20 17:54
报了什。。。么。。。毒。。。

http://go.microsoft.com/fwlink/? ... 96&enterprise=1

>Worm:Win32/Flewon.A<

3228558

ELOHIM 发表于 2017-11-20 17:57
http://go.microsoft.com/fwlink/?LinkId=225779&name=Worm:Win32/Flewon.A&threatid=2147592996&enterpr ...

两个都报还是第一个报还是第二个报？不是很懂“”杀附件二“”的意思

ELOHIM

3228558 发表于 2017-11-20 17:59
两个都报还是第一个报还是第二个报？不是很懂“”杀附件二“”的意思

New Folder.rar->New Folder.exe

logic337

根据描述这应该是雨云病毒。。。我们学校的电脑也有。。。

猥琐大叔

左手

1. 2017-11-23 21:34:33    创建文件 风险提示:低风险    允许
   
2. 进程: c:\documents and settings\administrator\桌面\new folder.exe
   
3. 目标: C:\Windows\System32\BttnServ.exe
   
4. 规则: [应用程序]?:\*\*\*\* -> [文件组]{③安全级别:中}f260_①启用《写入windows系统执行文件》 -> [文件]c:\windows\*; *.exe
   
5. 
   
6. 2017-11-23 21:34:39    创建文件 风险提示:低风险    允许
   
7. 进程: c:\documents and settings\administrator\桌面\new folder.exe
   
8. 目标: C:\Windows\svchost.exe
   
9. 规则: [应用程序]?:\*\*\*\* -> [文件组]{③安全级别:中}f260_①启用《写入windows系统执行文件》 -> [文件]c:\windows\*; *.exe
   
10. 
    
11. 2017-11-23 21:34:52    修改注册表值 风险提示:敏感    阻止
    
12. 进程: c:\documents and settings\administrator\桌面\new folder.exe
    
13. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\(Default)
    
14. 值: C:\Windows\svchost.exe
    
15. 规则: [应用程序组]a082_《行为防御》_自动运行 -> [应用程序]c:\documents and settings\*\* -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run*
    
16. 
    
17. 2017-11-23 21:34:59    创建新进程 风险提示:未知    允许
    
18. 进程: c:\documents and settings\administrator\桌面\new folder.exe
    
19. 目标: c:\windows\svchost.exe
    
20. 命令行: C:\Windows\svchost.exe
    
21. 规则: [应用程序]??\?* -> [子应用程序]a093_《行为防御》_冒充系统文件
    
22. 
    
23. 2017-11-23 21:34:59    创建文件 风险提示:低风险    允许
    
24. 进程: c:\windows\svchost.exe
    
25. 目标: C:\Documents and Settings\Administrator\Local Settings\Temp\~DF68E5.tmp
    
26. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [文件组]《写入》f309_允许修改的文件>a100 -> [文件]*\temp\*
    
27. 
    
28. 2017-11-23 21:34:59    修改文件 风险提示:敏感    阻止并结束进程
    
29. 进程: c:\windows\svchost.exe
    
30. 目标: C:\Windows\System32\BttnServ.exe
    
31. 规则: [应用程序]c:\windows\* -> [文件]*; *.exe
    

复制代码

logic337

这个病毒我钻研了半天
制作出了自制专杀工具
如果U盘中招了放在U盘中运行
如果电脑中招了放在所有磁盘中运行
副作用：磁盘查杀会导致桌面上（和其它地方的）的快捷方式消失
我正在把它推荐给我们学校的教师
密码：MEMZ.exe（注意大小写）

lycys

文件名: new folder.exe
威胁名称: Hacktool.Spammer完整路径: c:\users\ly\desktop\new folder.exe

____________________________

____________________________


在电脑上&nbsp;
2018/1/9 ( 19:54:08 )

上次使用时间&nbsp;
2018/1/9 ( 19:56:08 )

启动项&nbsp;
否

已启动&nbsp;
否

威胁类型: 病毒。 将自身插入或附加到其他程序、文件或电脑区域以感染这些媒介的程序。

____________________________


new folder.exe 威胁名称: Hacktool.Spammer
定位


极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。

发布已久的文件
该文件已在 1 年 7 个月 前发行。

高
此文件具有高风险。


____________________________


https://att.kafan.cn/forum.php?mo ... DkzNjl8MjEwODk2NA==
已下载文件 从 att.kafan.cn
来源: 外部介质

new folder.exe

____________________________

文件操作

文件: c:\users\ly\desktop\ new folder.exe 已删除
____________________________


文件指纹 - SHA:
abec20ee3b79eb8bc3a737f4e2c502806dd65a21c3d8c82ddb83896299536991
文件指纹 - MD5:
b9691cc672c6b2cf40f860b6986884c1

lycys

Hacktool.Spammer is a program that hackers use to attack mail boxes by flooding them with email. It can be programmed to send many email messages to specific addresses.