Backdoor/Humpler

显示全部楼层 · 发表于 2018-6-20 22:35:32

本帖最后由 191196846 于 2018-6-20 22:40 编辑

蓝奏

近期，火绒截获到一批后门病毒样本，病毒会将自己伪装成小工具（如：超级老板键、超级变声器、屏幕亮度调节等），并会通过2345软件大全、非凡下载站、PC6下载站等多个软件下载站进行传播。病毒会通过C&C服务器获取最终恶意代码，恶意代码执行后，表面会询问用户是否“愿意支持”软件后进行首页锁定。但在第二天用户再次启动该程序时，不论用户是否选择“愿意支持”都会强行劫持浏览器首页。而且为了躲避安全厂商查杀，现阶段被下发的病毒模块为PE头被简化过的模块数据。截至到目前，被下发的病毒模块数据依然在持续更新，我们不排除病毒将来会下发其他病毒模块的可能性。

http://bbs.huorong.cn/thread-47467-1-1.html

AVIRA MISS ALL EXEs

显示全部楼层 · 发表于 2018-6-20 22:43:20

ESET扫描Miss，已上报，然而并不指望ESET真的会拉黑

显示全部楼层 · 发表于 2018-6-20 22:48:37

迈克菲
SuperBosskey.exe 报 Artemis!4B0BEF485C03
超级老板键.exe报 Artemis!4B0BEF485C03
BOSSKEYSERVER.EXE 报 Real Protect-LS!6e794f86a443

显示全部楼层 · 发表于 2018-6-20 22:56:41

BD扫描miss，没双击。

显示全部楼层 · 发表于 2018-6-20 22:59:16

本帖最后由 YU2711 于 2018-6-20 23:00 编辑

Norton scen
档案名称：bosskeyserver.exe威胁名称：W32.Priter档案名称：TrayHook.dll威胁名称：W32.Priter档案名称：trayhook64.dll威胁名称：WS.Reputation.1

显示全部楼层 · 发表于 2018-6-20 23:01:30

本帖最后由 Karna 于 2018-6-20 23:03 编辑

可怕，VT上除了Cylance，扫描全过。不过锁主页的PUP确实不好弄。

显示全部楼层 · 发表于 2018-6-20 23:05:17

360杀毒扫描日志
病毒库版本：
扫描时间：2018-06-20 23:04:41
扫描用时：00:00:02
扫描类型：右键扫描
扫描文件总数：19
项目总数：2
清除项目数：2
扫描选项
----------------------
扫描所有文件：是
扫描压缩包：是
发现病毒处理方式：由用户选择处理
扫描磁盘引导区：是
扫描 Rootkit：是
使用云查杀引擎：是
使用QVM人工智能引擎：是
扫描建议修复项：是
常规引擎设置：未使用
扫描内容
----------------------
F:\浏览器下载\BackdoorHumpler
白名单设置
----------------------
扫描结果
======================
高危风险项
----------------------
F:\浏览器下载\BackdoorHumpler\cjlbj_9.9.zip=>SuperBosskey.exe 木马程序(Trojan.Generic) 已删除
F:\浏览器下载\BackdoorHumpler\cjlbj_9.9.zip=>超级老板键.exe 木马程序(Trojan.Generic) 已删除

复制代码

显示全部楼层 · 发表于 2018-6-21 00:02:23

scep scan miss all

显示全部楼层 · 发表于 2018-6-21 00:10:50

本帖最后由 www-tekeze 于 2018-6-21 00:12 编辑

火绒只报了三个exe的，剩下2个exe和2个dll都不报，入库策略不一样还是咋的？

显示全部楼层 · 发表于 2018-6-21 00:30:13

本帖最后由 www-tekeze 于 2018-6-21 00:34 编辑

www-tekeze 发表于 2018-6-21 00:10
火绒只报了三个exe的，剩下2个exe和2个dll都不报，入库策略不一样还是咋的？

双击试了下剩下的两个exe，应该没问题吧，另外两个dll是32位和64位系统下的加钩子模块，自身是不是黑dll呢？老板键这款软件有问题，一家子都要拉黑么？

隔几天看下火绒报不报吧。。。

[病毒样本] Backdoor/Humpler

本帖子中包含更多资源

本帖子中包含更多资源