某直播平台抢币辅助软件

显示全部楼层 · 发表于 2018-2-6 02:25:21

老爸喜欢看直播，喜欢给主播刷刷免费礼物什么的

一般都是抢土豪刷礼物给的箱子里的游戏币，但是奈何网速和手速不行好多时候只能看别人抢

，然后老爸就不知道从那里搞来了这个“软件”来抢币，中间运行好几次都被360拦截“恶意网络访问”和“线程注入”

！我给老爸说了不要用这些东西，小心电脑GG就开心了！他就是说没毒放心都抢了好多次了

，360扫描没什么问题，但是我放到“哈勃”看了一下这玩意好像真的不正常

关键行为

行为描述：	跨进程写入数据
详情信息：	TargetProcess = C:\Users\Administrator\AppData\Local\%temp%\b70c.exe, WriteAddress = 0x00150000, Size = 0x00000020 TargetPID = 0x00000fb4 TargetProcess = C:\Users\Administrator\AppData\Local\%temp%\b70c.exe, WriteAddress = 0x00150020, Size = 0x00000034 TargetPID = 0x00000fb4 TargetProcess = C:\Users\Administrator\AppData\Local\%temp%\b70c.exe, WriteAddress = 0x7ffde238, Size = 0x00000004 TargetPID = 0x00000fb4 TargetProcess = C:\Users\Administrator\AppData\Local\%temp%\b70c.exe, WriteAddress = 0x00150000, Size = 0x00000020 TargetPID = 0x00000efc TargetProcess = C:\Users\Administrator\AppData\Local\%temp%\b70c.exe, WriteAddress = 0x00150020, Size = 0x00000034 TargetPID = 0x00000efc TargetProcess = C:\Users\Administrator\AppData\Local\%temp%\b70c.exe, WriteAddress = 0x7ffdf238, Size = 0x00000004 TargetPID = 0x00000efc
行为描述：	探测 Virtual PC是否存在
详情信息：	N/A
行为描述：	直接调用系统关键API
详情信息：	Index = 0x000000EA, Name: NtQueryInformationProcess, Instruction Address = 0x007FA334 Index = 0x0000014F, Name: NtSetInformationThread, Instruction Address = 0x00808DF1 Index = 0x000000EA, Name: NtQueryInformationProcess, Instruction Address = 0x0080C939
行为描述：	杀掉进程
详情信息：	C:\Users\Administrator\AppData\Local\%temp%\b70c.exe
行为描述：	尝试打开调试器或监控软件的驱动设备对象
详情信息：	\??\SICE \??\SIWVID \??\NTICE
行为描述：	查询注册表_检测虚拟机相关
详情信息：	\REGISTRY\MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\0000\DriverDesc \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosVersion \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\VideoBiosVersion
行为描述：	获取TickCount值
详情信息：	TickCount = 169641, SleepMilliseconds = 2001. TickCount = 174907, SleepMilliseconds = 2001. TickCount = 175016, SleepMilliseconds = 2001. TickCount = 175032, SleepMilliseconds = 2001. TickCount = 175172, SleepMilliseconds = 2001. TickCount = 174346, SleepMilliseconds = 300. TickCount = 176297, SleepMilliseconds = 2001. TickCount = 174612, SleepMilliseconds = 300. TickCount = 174628, SleepMilliseconds = 300. TickCount = 174643, SleepMilliseconds = 300. TickCount = 176563, SleepMilliseconds = 2001. TickCount = 179625, SleepMilliseconds = 5000. TickCount = 177188, SleepMilliseconds = 2001. TickCount = 177235, SleepMilliseconds = 2001. TickCount = 175550, SleepMilliseconds = 300.
行为描述：	直接获取CPU时钟
详情信息：	EAX = 0x3927d1d7, EDX = 0x0000008d EAX = 0x3927d223, EDX = 0x0000008d EAX = 0x3927d26f, EDX = 0x0000008d EAX = 0x3927d2bb, EDX = 0x0000008d EAX = 0x3927d307, EDX = 0x0000008d EAX = 0x3927d353, EDX = 0x0000008d EAX = 0x3927d39f, EDX = 0x0000008d EAX = 0x3927d3eb, EDX = 0x0000008d EAX = 0x3927d437, EDX = 0x0000008d EAX = 0x3927d483, EDX = 0x0000008d EAX = 0xfd7a8aa7, EDX = 0x00000092 EAX = 0x1fe4c097, EDX = 0x00000093 EAX = 0x1fe4c0e3, EDX = 0x00000093 EAX = 0x1fe4c12f, EDX = 0x00000093 EAX = 0x1fe4c17b, EDX = 0x00000093
行为描述：	查找指定内核模块
详情信息：	lstrcmpiA: ntice.sys <------> ntkrnlpa.exe Des: SoftICE驱动 lstrcmpiA: ntice.sys <------> halmacpi.dll Des: SoftICE驱动 lstrcmpiA: ntice.sys <------> kdcom.dll Des: SoftICE驱动 lstrcmpiA: ntice.sys <------> mcupdate_GenuineIntel.dll Des: SoftICE驱动 lstrcmpiA: ntice.sys <------> PSHED.dll Des: SoftICE驱动 lstrcmpiA: ntice.sys <------> BOOTVID.dll Des: SoftICE驱动 lstrcmpiA: ntice.sys <------> CLFS.SYS Des: SoftICE驱动 lstrcmpiA: ntice.sys <------> CI.dll Des: SoftICE驱动 lstrcmpiA: ntice.sys <------> Wdf01000.sys Des: SoftICE驱动 lstrcmpiA: ntice.sys <------> WDFLDR.SYS Des: SoftICE驱动 lstrcmpiA: ntice.sys <------> ACPI.sys Des: SoftICE驱动 lstrcmpiA: ntice.sys <------> WMILIB.SYS Des: SoftICE驱动 lstrcmpiA: ntice.sys <------> msisadrv.sys Des: SoftICE驱动 lstrcmpiA: ntice.sys <------> pci.sys Des: SoftICE驱动 lstrcmpiA: ntice.sys <------> vdrvroot.sys Des: SoftICE驱动
行为描述：	查找反病毒常用工具窗口
详情信息：	NtUserFindWindowEx: [Class,Window] = [OLLYDBG,] NtUserFindWindowEx: [Class,Window] = [GBDYLLO,] NtUserFindWindowEx: [Class,Window] = [pediy06,] NtUserFindWindowEx: [Class,Window] = [FilemonClass,] NtUserFindWindowEx: [Class,Window] = [,File Monitor - Sysinternals: www.sysinternals.com] NtUserFindWindowEx: [Class,Window] = [PROCMON_WINDOW_CLASS,] NtUserFindWindowEx: [Class,Window] = [,Process Monitor - Sysinternals: www.sysinternals.com] NtUserFindWindowEx: [Class,Window] = [RegmonClass,] NtUserFindWindowEx: [Class,Window] = [,Registry Monitor - Sysinternals: www.sysinternals.com]
行为描述：	VMWare特殊指令检测虚拟机
详情信息：	N/A

提示“轻度风险”

，说真的真怕是“表面辅助”“合法远控”，就怕老爸笔记本变成了远控肉鸡

老爸很多工作资料都在他电脑上，挺为他担心的....希望大家帮我仔细看看这个软件到底问题多不多，也好让我给老爸做思想工作。谢谢大家了

文件超过上传限制（文件为29M），就用百度网盘分享了

：链接：https://pan.baidu.com/s/1kW0ovX1 密码：00tq

显示全部楼层 · 发表于 2018-2-6 08:34:30

建议楼主下次打包再传

显示全部楼层 · 发表于 2018-2-6 09:00:23

08:39:48[1]：(允许)程序启动：File_Analysis 行为记录成功开启规则版本：2.3.0.0
08:39:48[2]：(允许)打开内核对象：\\.\SICE(物理设备)
08:39:48[3]：(允许)打开内核对象：\\.\SIWVID(物理设备)
08:39:48[4]：(允许)打开内核对象：\\.\NTICE(物理设备)
08:39:48[5]：(允许)读取文件：\\.\HR::DTrampo
08:39:48[6]：(允许)读取注册表键值：HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Class\{4D36E968-E325-11CE-BFC1-08002BE10318}\0000\DriverDesc 数据：
08:39:48[7]：(允许)读取注册表键值：HKEY_LOCAL_MACHINE\Hardware\description\System\SystemBiosVersion 数据：Intel(R) HD Graphics
08:39:48[8]：(允许)读取注册表键值：HKEY_LOCAL_MACHINE\Hardware\description\System\VideoBiosVersion 数据：_ASUS_ - 1072009
08:39:48[9]：(允许)读取注册表键值：HKEY_LOCAL_MACHINE\Hardware\description\System\SystemBiosVersion 数据：_ASUS_ - 1072009
08:39:48[10]：(允许)查找窗口：OLLYDBG(窗口类名)
08:39:48[11]：(允许)查找窗口：GBDYLLO(窗口类名)
08:39:48[12]：(允许)查找窗口：pediy06(窗口类名)
08:39:48[13]：(允许)获取进程快照：系统全部进程
08:39:48[14]：(允许)读取文件：C:\Windows\system32\ntdll.dll
08:39:48[15]：(允许)查找窗口：FilemonClass(窗口类名)
08:39:48[16]：(允许)查找窗口：(窗口类名)
08:39:48[17]：(允许)查找窗口：PROCMON_WINDOW_CLASS(窗口类名)
08:39:48[18]：(允许)查找窗口：(窗口类名)
08:39:48[19]：(允许)查找窗口：RegmonClass(窗口类名)
08:39:48[20]：(允许)查找窗口：(窗口类名)
08:39:48[21]：(允许)查找窗口：18467-41(窗口类名)
08:39:48[22]：(允许)查找窗口：FilemonClass(窗口类名)
08:39:48[23]：(允许)查找窗口：(窗口类名)
08:39:48[24]：(允许)查找窗口：PROCMON_WINDOW_CLASS(窗口类名)
08:39:48[25]：(允许)查找窗口：(窗口类名)
08:39:49[26]：(允许)打开内核对象：\\.\PIPE\wkssvc(物理设备)
08:39:49[27]：(允许)读取文件：D:\File_Analysis 2.7[密码：520]\File_safe\plugins\hash
08:39:49[28]：(允许)获取文件属性：C:\Users\Administrator
08:39:49[29]：(允许)获取文件属性：C:\Users\Administrator\.config\chrome-trace-config.json
08:39:49[30]：(允许)读取文件：D:\File_Analysis 2.7[密码：520]\File_safe\plugins\res/aurora.bin
08:39:49[31]：(允许)读取文件：D:\File_Analysis 2.7[密码：520]\File_safe\plugins\snapshot_blob.bin
08:39:49[32]：(允许)读取文件：D:\File_Analysis 2.7[密码：520]\File_safe\plugins\res/natives.bin
08:39:49[33]：(允许)读取注册表键值：HKEY_LOCAL_MACHINE\SOFTWARE\Macromedia\FlashPlayerPepper\PlayerPath 数据：
08:39:49[34]：(允许)获取文件属性：
08:39:49[36]：(允许)获取文件属性：.
08:39:49[37]：(允许)获取文件属性：C:\Users\Administrator\AppData\Roaming
08:39:49[38]：(安全环境)创建文件目录：
08:39:49[39]：(允许)获取文件属性：C:\Users\Administrator\AppData\Local
08:39:49[40]：(允许)获取文件属性：C:\Users\Administrator\AppData\Local\CEF\User Data
08:39:49[41]：(允许)获取文件属性：C:\Users\Administrator\AppData\Local\CEF\User Data\Dictionaries
08:39:49[42]：(允许)获取文件属性：D:\File_Analysis 2.7[密码：520]\File_safe\plugins\widevinecdmadapter.dll
08:39:49[43]：(允许)获取文件属性：D:\File_Analysis 2.7[密码：520]\File_safe\plugins
08:39:49[44]：(允许)获取文件属性：D:\File_Analysis 2.7[密码：520]\File_safe\plugins\lang
08:39:49[45]：(允许)获取文件属性：D:\File_Analysis 2.7[密码：520]\File_safe\plugins\lang\zh-CN.pak
08:39:49[47]：(允许)读取文件：D:\File_Analysis 2.7[密码：520]\File_safe\plugins\lang\zh-CN.pak
08:39:49[48]：(允许)获取文件属性：D:\File_Analysis 2.7[密码：520]\File_safe\plugins\res/dev.bin
08:39:49[49]：(允许)读取文件：D:\File_Analysis 2.7[密码：520]\File_safe\plugins\res/dev.bin
08:39:50[50]：(允许)获取文件属性：D:\File_Analysis 2.7[密码：520]\File_safe\plugins\res/widget001.bin
08:39:50[51]：(允许)读取文件：D:\File_Analysis 2.7[密码：520]\File_safe\plugins\res/widget001.bin
08:39:50[52]：(允许)获取文件属性：D:\File_Analysis 2.7[密码：520]\File_safe\plugins\res/widget003.bin
08:39:50[53]：(允许)获取文件属性：D:\File_Analysis 2.7[密码：520]\File_safe\plugins\res/dev_res.bin
08:39:50[54]：(允许)获取文件属性：C:\Program Files (x86)\kbasesrv\safeurl.dat
08:39:50[57]：(允许)查找文件：C:\Program Files (x86)\kbasesrv\safeurl.dat
08:39:50[58]：(允许)读取文件：C:\Program Files (x86)\kbasesrv\safeurl.dat
08:39:50[59]：(允许)获取文件属性：C:\Program Files (x86)\kbasesrv\safeurl.dat
08:39:50[62]：(允许)查找文件：C:\Program Files (x86)\kbasesrv\safeurl.dat
08:39:50[63]：(允许)读取文件：C:\Program Files (x86)\kbasesrv\safeurl.dat
08:39:50[64]：(允许)读取注册表键值：HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Uninstall\QQPCMgr\DisplayIcon 数据：
08:39:50[66]：(允许)获取文件属性：C:\Program Files (x86)\Tencent\QQPCMgr\12.8.19072.214\QQPCMgr.exe
08:39:50[67]：(允许)查找窗口：OLLYDBG(窗口类名)
08:39:50[68]：(允许)查找窗口：GBDYLLO(窗口类名)
08:39:50[69]：(允许)查找窗口：pediy06(窗口类名)
08:39:50[70]：(允许)读取文件：\\.\Nsi
08:39:50[71]：(允许)获取文件属性：C:\Windows\system32\drivers\etc
08:39:50[72]：(允许)获取文件属性：C:\Windows\system32\drivers\etc\hosts
08:39:50[73]：(允许)读取文件：C:\Windows\system32\drivers\etc\hosts
08:39:50[74]：(允许)读取注册表键值：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Class\{4d36e968-e325-11ce-bfc1-08002be10318}\0000\DriverVersion 数据：{4d36e968-e325-11ce-bfc1-08002be10318}\0000
08:39:50[75]：(允许)读取注册表键值：HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Class\{4d36e968-e325-11ce-bfc1-08002be10318}\0000\DriverDate 数据：10.18.14.4578
08:39:50[76]：(允许)读取注册表键值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\ProviderName 数据：1-4-2017
08:39:50[77]：(允许)获取文件属性：plugins\plugin.bin
08:39:50[78]：(安全环境)创建进程："D:\File_Analysis 2.7[密码：520]\File_safe\极光繁星抢币工具v5.9.12.exe" --type=gpu-process --channel="4036.0.685381215\20435080" --no-sandbox --lang=zh-CN --log-severity=disable --supports-dual-gpus=false --gpu-driver-bug-workarounds=2,20,45 --gpu-vendor-id=0x8086 --gpu-device-id=0x0402 --gpu-driver-vendor="Intel Corporation" --gpu-driver-version=10.18.14.4578 --lang=zh-CN --log-severity=disable /prefetch:822062411
08:39:51[79]：(允许)读取注册表键值：HKEY_CLASSES_ROOT\MIME\Database\Content Type\application/pdf\Extension 数据：
08:39:51[80]：(允许)读取注册表键值：HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\System\DNSClient\SearchList 数据：審圍
08:39:51[81]：(允许)读取注册表键值：HKEY_CLASSES_ROOT\MIME\Database\Content Type\application/pdf\Domain 数据：瞫
08:39:51[82]：(允许)读取注册表键值：HKEY_CLASSES_ROOT\MIME\Database\Content Type\application/pdf\UseDomainNameDevolution 数据：
08:39:51[83]：(允许)读取注册表键值：HKEY_CLASSES_ROOT\MIME\Database\Content Type\application/pdf\DomainNameDevolutionLevel 数据：
08:39:51[84]：(阻止)创建注册表键：HKEY_CLASSES_ROOT\MIME\Database\Content Type\application/pdf\Software\Microsoft\Windows\CurrentVersion\Internet Settings
08:39:51[86]：(允许)读取注册表键值：HKEY_CLASSES_ROOT\MIME\Database\Content Type\application/pdf\UseDomainNameDevolution 数据：
08:39:51[87]：(阻止)创建注册表键：HKEY_CLASSES_ROOT\MIME\Database\Content Type\application/pdf\SOFTWARE\Policies\Microsoft\Windows\CurrentVersion\Internet Settings
08:39:51[88]：(允许)创建文件目录：C:\Users\Administrator
08:39:51[89]：(允许)获取文件属性：C:\Users\Administrator
08:39:51[90]：(允许)创建文件目录：C:\Users\Administrator\AppData\Roaming
08:39:52[91]：(允许)获取文件属性：C:\Users\Administrator\AppData\Roaming
08:39:52[92]：(允许)创建文件目录：C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu
08:39:52[93]：(允许)获取文件属性：C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu
08:39:52[94]：(允许)创建文件目录：C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
08:39:52[95]：(允许)读取注册表键值：HKEY_CLASSES_ROOT\MIME\Database\Content Type\application/pdf\DomainNameDevolutionLevel 数据：
08:39:52[96]：(允许)获取文件属性：C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs
08:39:52[97]：(允许)查找窗口：OLLYDBG(窗口类名)
08:39:52[98]：(允许)读取文件：C:\Windows\image.Dat
08:39:52[99]：(允许)读取注册表键值：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\DBFilter\\1002 数据：
08:39:52[100]：(允许)查找窗口：GBDYLLO(窗口类名)
08:39:52[101]：(允许)查找窗口：pediy06(窗口类名)
08:39:52[102]：(允许)查找窗口：Regmonclass(窗口类名)
08:39:53[103]：(允许)查找窗口：18467-41(窗口类名)
08:39:53[104]：(允许)时间操作：设置定时器(一) 时间间隔：500ms
08:39:53[105]：(允许)查找窗口：Filemonclass(窗口类名)
08:39:53[106]：(允许)查找窗口：PROCMON_WINDOW_CLASS(窗口类名)
08:39:54[107]：(允许)查找窗口：OLLYDBG(窗口类名)
08:39:54[108]：(允许)查找窗口：GBDYLLO(窗口类名)
08:39:54[109]：(允许)查找窗口：pediy06(窗口类名)
08:39:56[110]：(安全环境)创建进程：C:\Windows\SysWOW64\WerFault.exe 命令行：C:\Windows\SysWOW64\WerFault.exe -u -p 4036 -s 1820

复制代码

然后莫名其妙的没数据了
------------------------------------------------------------------------------------

可执行程序属性信息加壳信息 : 未发现加壳
文件熵 : 7.992401 (可能存在加壳)
fpu反调试 : 未检测到
载入地址 : 正常的载入点
代码入口信息 : 可能是伪造入口
DOS stub : : 正常
TLS表信息 : 发现 - 包含1 个函数
段信息 : 6
可疑的名称可能存在自修改代码
资源段 : 未见异常
输入表段 : 可疑的名称长度过小
可疑的名称长度过小可能存在自修改代码
zucuosew 可疑的名称可能存在自修改代码
obasmqjz 可疑的名称长度过小可能存在自修改代码
时间戳 : 未见异常
ASLR ：未开启
DEP/NX ：未开启
SEH ：开启

复制代码

VT：https://www.virustotal.com/#/fil ... 442871527/detection
Tencent Habo：https://habo.qq.com/file/showdetail?pk=ADMGYV1pB2MIO1s6#runphoto

#根据分析结果，可以确认此样本存在异常行为【/没有那个正经软件去读取物理设备吧】，但鉴于杀软报告的结果以及未见显著恶意行为（只是查找），建议谨慎使用。
##此样本将同步到火绒进行分析。

显示全部楼层 · 发表于 2018-2-6 09:35:55

检测虚拟机这一点就有问题，最好还是不用为好

显示全部楼层 · 发表于 2018-2-6 15:31:16

火绒确认说该样本没有恶意代码
http://bbs.huorong.cn/forum.php? ... mp;page=1#pid206618

显示全部楼层 · 发表于 2018-2-6 16:19:23

这个事情只能让你妈妈管管！

显示全部楼层 · 发表于 2018-2-6 19:00:57

安全守护者发表于 2018-2-6 15:31
火绒确认说该样本没有恶意代码
http://bbs.huorong.cn/forum.php?mod=viewthread&tid=43846&page=1#pid206 ...

十分感谢大佬的分析，只要没什么大问题就好

显示全部楼层 · 发表于 2018-2-6 19:01:53

cloud01 发表于 2018-2-6 16:19
这个事情只能让你妈妈管管！

我觉得你这个问题不能算问题

显示全部楼层 · 发表于 2018-2-6 19:03:25

wusiyuanjh 发表于 2018-2-6 09:35
检测虚拟机这一点就有问题，最好还是不用为好

反虚拟机我也知道不好，但是讲给我爸听人家根本不听

显示全部楼层 · 发表于 2018-2-6 19:13:58

不老实，估计用户数量大了以后，就会漏出狐狸尾巴了。
——————
微软提示：Trojan:Win32/Azden.A!cl 未下载完直接拦截。

[病毒样本] 某直播平台抢币辅助软件