真-xiaoba【自制新病毒-2018-6-8】

显示全部楼层 · 发表于 2018-6-8 20:25:18

本帖最后由 pal家族于 2018-6-8 20:27 编辑

08.06.2018 20.22.50;
Detected object (file) cannot be disinfected;
hxxp://www.xiaobaruanjian.xyz:8080/Tencentdl.exe
Trojan-Dropper.Win32.Demp.avcr;Trojan program;
06/08/2018 20:22:50

卡巴结果

显示全部楼层 · 发表于 2018-6-9 00:40:14

无言独上西楼。来一杯白的，就这么醉了吧。睡了睡了、

@renyifei Y神后继有人了。
@aboringman 看了这个帖子有感言吗。
现在看来，还是克劳德1大神更靠谱。

显示全部楼层 · 发表于 2018-6-8 20:28:55

scep : VirTool:Win32/Injector
————————————————

Threat behavior
Some samples might inject a DLL or malware code into legitimate applications that are excluded from the firewall block list, or are allowed to connect or accept outgoing or incoming Internet connections. Others might modify the behavior of Windows games and can be used as game hacks.

Analysis by Jireh Sanico

显示全部楼层 · 发表于 2018-6-8 20:31:37

ELOHIM 发表于 2018-6-8 20:28
scep : VirTool:Win32/Injector
————————————————

确实是注入型，准确

显示全部楼层 · 发表于 2018-6-8 20:32:37

aboringman 发表于 2018-6-8 20:31
确实是注入型，准确

毕竟不是 cl 拉黑粗糙模式……

显示全部楼层 · 发表于 2018-6-8 21:36:10

Bitdefender
Gen:Win32.ProcessHijack.nu2@aG

显示全部楼层 · 发表于 2018-6-8 22:43:46

Mcafee

ATP/Suspect!50649e10ae1d

显示全部楼层 · 发表于 2018-6-8 22:50:21

毒霸扫描miss

显示全部楼层 · 发表于 2018-6-8 23:03:22

火绒扫描miss，双击运行会调用svchost.exe联网，IP地址是美国，大慨一分钟后进程自动退出，不知要搞哪样？

显示全部楼层 · 发表于 2018-6-8 23:06:34

显示全部楼层 · 发表于 2018-6-8 23:28:13

本帖最后由 www-tekeze 于 2018-6-8 23:32 编辑

和QQ9.0.3版的Tencentdl.exe比较了下数签，除文件大小不同外，其它都相同。。

PS：原始的Tencentdl.exe双击不会联网。

[病毒样本] 真-xiaoba【自制新病毒-2018-6-8】

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

[病毒样本] 真-xiaoba【 自制新病毒-2018-6-8】

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

[病毒样本] 真-xiaoba【自制新病毒-2018-6-8】