重发上次的U盘lnk病毒，附带另外几个文件

显示全部楼层 · 发表于 2017-11-25 13:47:41

infected

链接：http://pan.baidu.com/s/1o7Lg2BC 密码：aiae

应老师要求，重新发上次的lnkU盘病毒https://bbs.kafan.cn/thread-2108896-1-1.html，外加几个文件

_WKFLWEPYF.nil和Thumbs.db https://bbs.kafan.cn/thread-2108920-1-1.html 貌似是衍生物。

两个exe是公用的服务器上根目录下的文件，学校360杀

卡巴

显示全部楼层 · 发表于 2017-11-25 13:58:03

本帖最后由 zst470396853 于 2017-11-25 14:01 编辑

360

QQ和360杀的一样修复和删除的也一样

360杀毒扫描日志

病毒库版本：2017-11-24 12:34
扫描时间：2017-11-25 13:56:30
扫描用时：00:00:01
扫描类型：右键扫描
扫描文件总数：5
项目总数：3
清除项目数：3

扫描选项
----------------------
扫描所有文件：是
扫描压缩包：否
发现病毒处理方式：由用户选择处理
扫描磁盘引导区：是
扫描 Rootkit：是
使用云查杀引擎：是
使用QVM人工智能引擎：是
扫描建议修复项：是
常规引擎设置：Avira(小红伞)

扫描内容
----------------------
C:\Users\Administrator\Desktop\5x

白名单设置
----------------------

扫描结果
======================
高危风险项
----------------------
C:\Users\Administrator\Desktop\5x\Archive\新建文件夹\FlashPlayer.exe       Virus.Win32.Parite.H       已修复
C:\Users\Administrator\Desktop\5x\Archive\新建文件夹\SeewoLinkSetup_3.0.12.2956_GuanWang.exe       Virus.Win32.Parite.H       已修复
C:\Users\Administrator\Desktop\5x\Archive\新建文件夹\_WKFLWEPYF.nil       蠕虫病毒(Worm.Win32.Debris.D)       已删除

修复2个删除一个  余下

显示全部楼层 · 发表于 2017-11-25 14:09:50

BDF

显示全部楼层 · 发表于 2017-11-25 14:21:15

本帖最后由安全守护者于 2017-11-25 14:26 编辑

那个“王以勒（29GB）”只是个快捷方式而已嘛
指向：%homedrive%\WINDOWS\System32\rundll32.exe _WKFLWEPYF.nil,rundll32

基本信息

文件名称：

新建文件夹.zip

MD5：

aa27df2be6bc6cfc5bd63f1c9900fa0d

文件类型：

zip

上传时间：

2017-11-25 14:15:43

出品公司：

N/A

版本：

N/A

壳或编译器信息：

PACKER:UPolyX v0.5

子文件信息：

SeewoLinkSetup_3.0.12.2956_GuanWang.exe / 6e8c1d7343f1635dbbde0b425537b7fd / EXE

FlashPlayer.exe / 5610def6f035d2aa4aa5441b339203c2 / EXE

Thumbs.db / c0291fe941d439914021072bb77e87db / Unknown

_WKFLWEPYF.nil / 47bac34b40aaa10b779be5204f593f02 / DLL

王以勒 (29GB).lnk / 2631b1451f66dd933817bf383a3d9291 / Unknown

关键行为

行为描述：	修改原系统的EXE文件
详情信息：	C:\install.exe C:\222c25ed\IE8-Setup-Full\IE-REDIST.EXE
行为描述：	设置消息钩子
详情信息：	C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ima3.tmp

进程行为

行为描述：

创建本地线程

详情信息：

TargetProcess: SeewoLinkSetup_3.0.12.2956_GuanWang.exe, InheritedFromPID = 2000, ProcessID = 3072, ThreadID = 3084, StartAddress = 77DC845A, Parameter = 00000000

TargetProcess: explorer.exe, InheritedFromPID = 1932, ProcessID = 2000, ThreadID = 3088, StartAddress = 03B96E48, Parameter = 03D5224C

TargetProcess: explorer.exe, InheritedFromPID = 1932, ProcessID = 2000, ThreadID = 3092, StartAddress = 719CD33A, Parameter = 00134A90

文件行为

行为描述：	创建文件
详情信息：	C:\Documents and Settings\Administrator\Local Settings\Temp\ima3.tmp C:\Documents and Settings\Administrator\Local Settings\Temp\nsj4.tmp
行为描述：	修改原系统的EXE文件
详情信息：	C:\install.exe C:\222c25ed\IE8-Setup-Full\IE-REDIST.EXE
行为描述：	覆盖已有文件
详情信息：	C:\Documents and Settings\Administrator\Local Settings\Temp\ima3.tmp
行为描述：	查找文件
详情信息：	FileName = C:\Documents and Settings FileName = C:\Documents and Settings\Administrator FileName = C:\Documents and Settings\Administrator\Local Settings FileName = C:\Documents and Settings\Administrator\Local Settings\Temp FileName = C:\Documents and Settings\Administrator\Local Settings\%temp% FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\***.exe_7zdump FileName = C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\.TMP FileName = C:\WINDOWS\system32\dllcache\.exe FileName = C:\WINDOWS\system32\dllcache\.scr FileName = C:\.exe FileName = C:\.scr FileName = C:\. FileName = C:\222c25ed\.exe FileName = C:\222c25ed\.scr FileName = C:\222c25ed\.
行为描述：	删除文件
详情信息：	C:\Documents and Settings\Administrator\Local Settings\Temp\nsj4.tmp C:\Documents and Settings\Administrator\Local Settings\Temp\Kno1.tmp C:\Documents and Settings\Administrator\Local Settings\Temp\Kno4E.tmp C:\Documents and Settings\Administrator\Local Settings\Temp\KnoC.tmp C:\Documents and Settings\Administrator\Local Settings\Temp\KnoD.tmp C:\Documents and Settings\Administrator\Local Settings\Temp\~DF4F53.tmp C:\Documents and Settings\Administrator\Local Settings\Temp\~DF5D7F.tmp C:\Documents and Settings\Administrator\Local Settings\Temp\~DF9415.tmp C:\Documents and Settings\Administrator\Local Settings\Temp\~DF949B.tmp C:\Documents and Settings\Administrator\Local Settings\Temp\~DF94ED.tmp C:\Documents and Settings\Administrator\Local Settings\Temp\~DF94F2.tmp C:\Documents and Settings\Administrator\Local Settings\Temp\~DF951A.tmp C:\Documents and Settings\Administrator\Local Settings\Temp\~DF951F.tmp C:\Documents and Settings\Administrator\Local Settings\Temp\~DF99D8.tmp
行为描述：	修改文件内容
详情信息：	C:\Documents and Settings\Administrator\Local Settings\Temp\ima3.tmp ---> Offset = 0 C:\Documents and Settings\Administrator\Local Settings\Temp\ima3.tmp ---> Offset = 10240 C:\Documents and Settings\Administrator\Local Settings\Temp\ima3.tmp ---> Offset = 20480 C:\Documents and Settings\Administrator\Local Settings\Temp\ima3.tmp ---> Offset = 30720 C:\Documents and Settings\Administrator\Local Settings\Temp\ima3.tmp ---> Offset = 40960 C:\install.exe ---> Offset = 496092 C:\install.exe ---> Offset = 496440 C:\install.exe ---> Offset = 1152 C:\install.exe ---> Offset = 248 C:\install.exe ---> Offset = 496 C:\install.exe ---> Offset = 0 C:\install.exe ---> Offset = 495616 C:\install.exe ---> Offset = 561152 C:\222c25ed\IE8-Setup-Full\IE-REDIST.EXE ---> Offset = 31936 C:\222c25ed\IE8-Setup-Full\IE-REDIST.EXE ---> Offset = 32116

注册表行为

行为描述：	修改注册表
详情信息：	\REGISTRY\USER\S-\Software\Microsoft\Windows\CurrentVersion\Explorer\PINF \REGISTRY\USER\S-\Software\Microsoft\Windows\ShellNoRoam\MUICache\C:\Documents and Settings\Administrator\Local Settings\%temp%\***.exe_7zdump\SeewoLinkSetup_3.0.12.2956_GuanWang.exe \REGISTRY\USER\S-\SessionInformation\ProgramCount

其他行为

行为描述：	创建互斥体
详情信息：	CTF.LBES.MutexDefaultS-* CTF.Compart.MutexDefaultS-* CTF.Asm.MutexDefaultS-* CTF.Layouts.MutexDefaultS-* CTF.TMD.MutexDefaultS-* CTF.TimListCache.FMPDefaultS-MUTEX.DefaultS- Residented MSCTF.Shared.MUTEX.IOH MSCTF.Shared.MUTEX.MOK
行为描述：	创建事件对象
详情信息：	EventName = CTF.ThreadMarshalInterfaceEvent.000007E8.00000000.0000000F EventName = CTF.ThreadMIConnectionEvent.000007E8.00000000.0000000F EventName = MSCTF.SendReceive.Event.IOH.IC EventName = MSCTF.SendReceiveConection.Event.IOH.IC
行为描述：	打开事件
详情信息：	HookSwitchHookEnabledEvent _fCanRegisterWithShellService CTF.ThreadMIConnectionEvent.000007E8.00000000.0000000F CTF.ThreadMarshalInterfaceEvent.000007E8.00000000.0000000F MSCTF.SendReceiveConection.Event.IOH.IC MSCTF.SendReceive.Event.IOH.IC MSCTF.SendReceiveConection.Event.MOK.IC MSCTF.SendReceive.Event.MOK.IC
行为描述：	查找指定窗口
详情信息：	NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,] NtUserFindWindowEx: [Class,Window] = [,GINA Logon]
行为描述：	窗口信息
详情信息：	Pid = 3072, Hwnd=0x10344, Text = 确定, ClassName = Button. Pid = 3072, Hwnd=0x10348, Text = Installer integrity check has failed. Common causes include incomplete download and damaged media. Contact the installer"s author to obtain a new copy. More information at: http://nsis.sf.net/NSIS_Error, ClassName = Static. Pid = 3072, Hwnd=0x4033c, Text = NSIS Error, ClassName = #32770.
行为描述：	调整进程token权限
详情信息：	SE_LOAD_DRIVER_PRIVILEGE
行为描述：	枚举窗口
详情信息：	N/A
行为描述：	修改后的可执行文件签名信息
详情信息：	C:\install.exe(签名验证: 未通过) C:\222c25ed\IE8-Setup-Full\IE-REDIST.EXE(签名验证: 未通过)
行为描述：	打开互斥体
详情信息：	Residented ShimCacheMutex
行为描述：	修改后的可执行文件MD5
详情信息：	C:\install.exe ---> 1720f289590076dd789b41b048bf3d11 C:\222c25ed\IE8-Setup-Full\IE-REDIST.EXE ---> 文件过大!
行为描述：	加载新释放的文件
详情信息：	Image: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\ima3.tmp.

进程树

[url=]seewolinksetup_3.0.12.2956_guanwang.exe (PID: 0x00000c00)[/url]

运行截图

显示全部楼层 · 发表于 2017-11-25 15:18:57

金山修复了两个。。。SeewoLinkSetup_3.0.12.2956_GuanWang.exe太大了懒得上云盘了

扫描时间：[2017-11-25 15:13:00]
扫描用时：[00:00:06]
扫描类型：自定义查杀
扫描文件总数：5
扫描速度：1文件/秒
发现威胁：2个
清除威胁：2个
=============================================
[2017-11-25 15:14:41]
威胁：c:\users\desktop\新建文件夹 (2)\archive\新建文件夹\flashplayer.exe
类型：win32.parite.b.5756
处理方式：修复

[2017-11-25 15:14:41]
威胁：c:\users\desktop\新建文件夹 (2)\archive\新建文件夹\seewolinksetup_3.0.12.2956_guanwang.exe
类型：win32.parite.b.5756
处理方式：修复

显示全部楼层 · 发表于 2017-11-25 15:33:20

火绒KILL 4x

病毒库：2017/11/24 16:21
开始时间：2017/11/25 15:30
总计用时：00:00:37
扫描对象：447个
扫描文件：7个
发现风险：4个
已处理风险：3个
发现系统修复项：0个
处理系统修复项：0个
病毒详情
风险路径：C:\Users\USER\Downloads\Compressed\Virus Test\5x\Archive\新建文件夹\_WKFLWEPYF.nil, 病毒名：HEUR:Trojan/HVM02.l, 病毒ID：[d5db955f1781e2bb], 处理结果：已处理
风险路径：C:\Users\USER\Downloads\Compressed\Virus Test\5x\Archive\新建文件夹\王以勒 (29GB).lnk, 病毒名：Worm/Bundpil.b, 病毒ID：[587838899c271d18], 处理结果：处理失败
风险路径：C:\Users\USER\Downloads\Compressed\Virus Test\5x\Archive\新建文件夹\FlashPlayer.exe, 病毒名：Virus/Parite.b, 病毒ID：[71fff1c201b6cafa], 处理结果：已处理
风险路径：C:\Users\USER\Downloads\Compressed\Virus Test\5x\Archive\新建文件夹\SeewoLinkSetup_3.0.12.2956_GuanWang.exe, 病毒名：Virus/Parite.b, 病毒ID：[71fff1c201b6cafa], 处理结果：已处理

复制代码

操作者：C:\Windows\explorer.exe
病毒路径：C:\Users\USER\Downloads\Compressed\Virus Test\5x\Archive\新建文件夹\王以勒 (29GB).lnk
病毒名称：Worm/Bundpil.b
病毒ID：587838899C271D18
用户操作：已清除

复制代码

显示全部楼层 · 发表于 2017-11-25 16:01:48

本帖最后由 qq1094250746 于 2017-11-25 16:02 编辑

F-Secure

显示全部楼层 · 发表于 2017-11-25 16:28:41

正常的lnk病毒而已。想当年还是我报给火绒和360这个病毒的呢＼(^o^)／

显示全部楼层 · 发表于 2017-11-25 20:11:16

这是感染型里最恶心的好吗。

Parite

显示全部楼层 · 发表于 2017-11-26 00:00:24

[病毒样本] 重发上次的U盘lnk病毒，附带另外几个文件

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源