上传2个木马，为扫描党做点贡献。

ATP_synthase

卡巴斯基安全软件

拒绝访问
无法访问该网页

对象网址:

https://att.kafan.cn/forum.php?mo ... DN8MjExNjE4OA%3D%3D
原因: 对象被感染 Trojan.JS.Miner.m

猥琐大叔

ytysh

Webroot 启发Kill 1x

毛可多来

文件检测评级：未发现风险基本信息

文件名称：	coinhive.min[1].js
MD5：	8a1a1f794f97223a0b6d4ea76d83905c
文件类型：	Windows Script
上传时间：	2018-02-19 15:18:52
出品公司：	N/A
版本：	N/A
壳或编译器信息：	N/A

进程行为

行为描述：	创建本地线程
详情信息：	TargetProcess: wscript.exe, InheritedFromPID = 2000, ProcessID = 2504, ThreadID = 2528, StartAddress = 01002FD4, Parameter = 008E4480

文件行为

行为描述：	查找文件
详情信息：	FileName = C:\Documents and Settings\Administrator\Local Settings\%temp%\996E.wsf

其他行为

行为描述：	创建互斥体
详情信息：	CTF.LBES.MutexDefaultS-* CTF.Compart.MutexDefaultS-* CTF.Asm.MutexDefaultS-* CTF.Layouts.MutexDefaultS-* CTF.TMD.MutexDefaultS-* CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-* MSCTF.Shared.MUTEX.IOH
行为描述：	查找指定窗口
详情信息：	NtUserFindWindowEx: [Class,Window] = [Shell_TrayWnd,]
行为描述：	打开互斥体
详情信息：	ShimCacheMutex
行为描述：	窗口信息
详情信息：	Pid = 2504, Hwnd=0x1034e, Text = 确定, ClassName = Button. Pid = 2504, Hwnd=0x10352, Text = 脚本:        C:\Documents and Settings\Administrator\Local Settings\%temp%\996E.wsf 行:        1 字符:        1751 错误:        无效实体引用 代码:        8004000C 源: Windows Script Host , ClassName = Static. Pid = 2504, Hwnd=0x1034a, Text = Windows Script Host, ClassName = #32770.
行为描述：	打开事件
详情信息：	CTF.ThreadMIConnectionEvent.000007E8.00000000.00000010 CTF.ThreadMarshalInterfaceEvent.000007E8.00000000.00000010 MSCTF.SendReceiveConection.Event.IOH.IC MSCTF.SendReceive.Event.IOH.IC

进程树

• [url=]wscript.exe (PID: 0x000009c8)[/url]
  

运行截图

星猫

文件名: trainer.tmp0
威胁名称: Adware.BetterInternet完整路径: c:\users\11427\downloads\2个木马\trainer.tmp0

____________________________

____________________________


在电脑上
2018-02-19 ( 15:39:20 )

上次使用时间
2018-02-19 ( 15:39:20 )

启动项
否

已启动
否

威胁类型: 广告软件。 主要目的是为了便于提供广告内容的程序。

____________________________


trainer.tmp0 威胁名称: Adware.BetterInternet
定位


多数用户信任的文件
Norton 社区中有成千上万名用户 使用了此文件。

发布已久的文件
该文件已在 8 年 5 个月 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质


____________________________

文件操作

文件: c:\Users\11427\downloads\2个木马\ trainer.tmp0 已阻止
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
文件名: coinhive.min[1].js
威胁名称: PUA.WASMcoinminer完整路径: c:\users\11427\downloads\2个木马\coinhive.min[1].js

____________________________

____________________________


在电脑上
2018-02-19 ( 15:38:30 )

上次使用时间
2018-02-19 ( 15:40:30 )

启动项
否

已启动
否

威胁类型: 安全风险。 会引发安全或隐私风险，且尚未归类为恶意程序的程序。

____________________________


coinhive.min[1].js 威胁名称: PUA.WASMcoinminer
定位


多数用户信任的文件
Norton 社区中有数千名用户 使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

低
此文件具有低风险。


____________________________


来源: 外部介质

源文件:
coinhive.min[1].js

____________________________

文件操作

受感染文件: c:\users\11427\downloads\2个木马\ coinhive.min[1].js 已删除
____________________________


文件指纹 - SHA:
683786c5abd62a811c117ef86085c75ecd72dbbba9cad86a5a2bef222be84e5c
文件指纹 - MD5:
8a1a1f794f97223a0b6d4ea76d83905c

abc277399

2605276004x 发表于 2018-2-18 16:12
你还没弄清实时监控的几种模式或者你把云主防和监控弄混淆了，杀毒可以调为执行时扫描，把级别调低就可以 ...

原来是这样，了解其实我就看表面现象和设置里面的介绍了，啥原理我也不知道。。。，反正这个木马，不扫描，360卫士无反应，360杀毒能弹窗发现。讨论了这么久谢谢耐心指正

2605276004x

abc277399 发表于 2018-2-20 10:47
原来是这样，了解其实我就看表面现象和设置里面的介绍了，啥原理我也不知道。。。，反正这个木马， ...

这也是一种360减轻系统负担策略罢了，例如腾讯管家就比360卡一些，不过防护能力只能让毒在联网时启动不了罢了，总有点风险的

saleniy35

ESET

starseeker999

用来记录下

xique666

火绒全部kill