请各位分析下这个是什么毒 具体什么行为

xingluhuayu

软件里带的 解压后直接报毒  没有去运行 不知道什么行为

xingluhuayu

在线查毒 大部分都会报读 有限几个没有报 也不知道是啥

XZ8SM7Sx0bVkoUV

火绒kill，中了感染型？

Jerry.Lin

1. 事件类型:     检测到恶意对象
   
2. 应用程序\名称:     ShadowsocksR
   
3. 应用程序\路径:     C:\Users\USER\Downloads\Compressed\VPN\ShadowsocksR-win-4.9.0\
   
4. 应用程序\进程 ID:     12220
   
5. 用户:     DESKTOP-G67ASI6\USER (活动用户)
   
6. 组件:     网页反病毒
   
7. 结果\描述:     检测到威胁
   
8. 结果\类型:     病毒
   
9. 结果\名称:     Virus.Win32.Nimnul.a
   
10. 结果\威胁级别:     高
    
11. 结果\精确度:     确切
    
12. 对象:     https://att.kafan.cn/forum.php?mod=attachment&aid=Mjk2MDY5MnxkY2MyYzg4ZHwxNTE4NDE4NTcwfDEwNTg1Mjd8MjExNTg0Mg%3D%3D//sqlite3.dll
    
13. 对象\类型:     网页
    
14. 对象\路径:     https://att.kafan.cn/forum.php?mod=attachment&aid=Mjk2MDY5MnxkY2MyYzg4ZHwxNTE4NDE4NTcwfDEwNTg1Mjd8MjExNTg0Mg%3D%3D//
    
15. 对象\名称:     sqlite3.dll
    
16. 原因:     本地数据库
    
17. 数据库发布日期:     2018/2/12 10:21:00
    

复制代码

saleniy35

ESET

你好，再见

安全守护者

58 个检测引擎检测到此文件
SHA-256        a3080bbfe87998f5f7144d5622cda062b5d425d6a786f3639f58c94afc450628
文件名        sqlite3.dll
文件大小        926.9 KB
上次分析时间        2018-02-12 06:57:51 UTC

安全守护者

静态特征检测

Virus.Win32.Nimnul.a,

1. 加壳信息 : 存在加壳
   
2. 文件熵 : 7.091882 (可能存在加壳)
   
3. cpl分析 : 未检测到威胁
   
4. fpu反调试 : 未检测到
   
5. 载入地址 : 可疑的载入点
   
6. 代码入口信息 : 正常的入口
   
7. DOS stub : : 正常
   
8. TLS表信息 : 未发现
   
9. 段信息 : 6
   
10. 代码段 : 未见异常
    
11. 只读数据段 : 未见异常
    
12. 数据段 : 未见异常
    
13. 资源段 : 未见异常
    
14. 重定位段 : 未见异常
    
15. 代码段 : 可能存在自修改代码
    
16. 时间戳 : 未见异常
    
17. ASLR ： 开启
    
18. DEP/NX ： 开启
    
19. SEH ： 开启

复制代码

1. 行为类别        危害等级        类目行为代表
   
2. 加载模块        [敏感]        加载模块 HarddiskVolume1\WINDOWS\system32\advapi32.dll
   
3. 检测虚拟机        [敏感]        通过 MemoryOperation 技术检测虚拟机或调试器，逃避分析与查杀
   
4. 变更权限        [敏感]        改变进程的权限
   
5. 创建可执行程序        [高危]        创建可执行程序 HarddiskVolume1\vastest\vasdllloadermgr.exe
   
6. 映射文件        [敏感]        映射文件 HarddiskVolume1\vastest\vasdllloadermgr.exe
   
7. 创建进程        [高危]        创建进程 C:\vastest\vasdllloadermgr.exe
   
8. 自解压        [高危]        代码自解压，逃避分析与查杀
   
9. 遍历线程列表        [高危]        遍历系统中的线程
   
10. 创建互斥量        [中危]        创建互斥量 {7D3175F3-3A63-56F6-4BA1-5AAF85A3F846} 防止重复感染
    
11. 设置自启动        [高危]        将 C:\vastest\vasdllloadermgr.exe 设置为开机自启动
    
12. 替换浏览器运行库        [高危]        替换浏览器进程或运行库，实现浏览器劫持
    
13. 读取文件        [中危]        读取文件 HarddiskVolume1\Documents and Settings\xpuser\「开始」菜单\程序\启动\umlohopi.exe
    
14. 访问网络服务        [高危]        获取系统提供的socket服务
    
15. 侦听网络端口        [高危]        侦听网络端口 0.0.0.0: 0
    
16. 域名查询        [高危]        查询域名信息：google.com
    
17. 创建网络连接        [高危]        连接到远程主机 192.168.4.227: 80
    
18. 修改文件时间        [高危]        修改 HarddiskVolume1\Documents and Settings\All Users\Application Data\Package Cache\{8e70e4e1-06d7-470b-9f74-a51bef21088e}\vcredist_x86.exe 的创建时间为 2016-07-06 00_13_52
    
19. 写入文件        [高危]        写入文件 HarddiskVolume1\Documents and Settings\xpuser\Local Settings\Temp\Microsoft .NET Framework 4 Setup_20160707_084538796.html
    
20. 修改文件属性        [高危]        将文件 HarddiskVolume1\Documents and Settings\xpuser\Local Settings\Temp\ose00000.exe 的属性更改为隐藏或只读
    
21. 系统调用异常        [中危]        异常的系统调用方式

复制代码

xingluhuayu

安全守护者 发表于 2018-2-12 15:02

爱我去 这个牛

Jirehlov1234