刺激战场辅助

cz100zhengzelin

XiaoBa做的伪装成游戏辅助的病毒
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
样本名称：刺激战场辅助-卡饭论坛病毒样本.7z
样本MD5校验值：30FDAF735D429DE2136F82D53A78CF40
样本格式：*.exe可执行文件
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
　·　下载方式一：https://pan.baidu.com/s/1UlAHBMWCqxdXUDBjk4c_pg 密码: 244q
　·　下载方式二：
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
· 温馨提示：请不要物理机在没有任何防御的情况下双击！
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
欢迎虚拟机双击、物理机有防御的情况下双击、分析！

cz100zhengzelin

Nod32：Miss
火绒：Miss

Tom179090

NS：
文件名: 刺激战场稳定辅助.exe
威胁名称: Heur.AdvML.B完整路径: c:\users\tom-w\downloads\刺激战场辅助-卡饭论坛病毒样本\刺激战场稳定辅助.exe

____________________________

____________________________


在电脑上 
2018/7/25 ( 21:37:07 )

上次使用时间 
2018/7/25 ( 21:39:07 )

启动项 
否

已启动 
否

威胁类型: 启发式病毒。 根据恶意软件启发式技术检测威胁。

____________________________


刺激战场稳定辅助.exe 威胁名称: Heur.AdvML.B
定位


极少用户信任的文件
Norton 社区中有不到 5 名用户 使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
刺激战场稳定辅助.exe

____________________________

文件操作

文件: c:\users\tom-w\downloads\刺激战场辅助-卡饭论坛病毒样本\ 刺激战场稳定辅助.exe 已删除
____________________________


文件指纹 - SHA:
51a963c5b7c3e607e2add522fd0035d96494ec69d2a79b54616de40c2c36eab9
文件指纹 - MD5:
9426e8682ce946dd87720a74a1de4c30

cz100zhengzelin

这毒有点意思

乌龟dē海盗

360 qvm杀

fuzhk

HEUR/QVM17.0.AC75.Malware.Gen

ATP_synthase

bd扫描miss

ELOHIM

scep scan miss

小坏爷

这玩意窗口提示下载文件  我这里报错停止下载了
但是临时文件夹有一个程序生产，我现在还没上传VT

ELOHIM

小坏爷 发表于 2018-7-25 22:11
这玩意窗口提示下载文件  我这里报错停止下载了
但是临时文件夹有一个程序生产，我现在还没上传VT

1. <p class="blockcode"><blockquote><!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
   
2. <html>
   
3. <head>
   
4. <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
   
5. <title>114网址导航</title>
   
6. <script src="js/jquery-1.11.1.min.js" type="text/javascript"></script>
   
7. <style type="text/css">
   
8. .fullwindow {
   
9.     position: absolute;
   
10.     left: 0;
    
11.     top: 0;
    
12.     width: 100%;
    
13.     min-height: 100%;
    
14.     height: auto;
    
15.     overflow: hidden
    
16. }
    
17. 
    
18. .hide {
    
19.     display: none
    
20. }
    
21. </style>
    
22. <script type="text/javascript">
    
23. function extractDomain(url) {
    
24.     var domain;
    
25.     //find & remove protocol (http, ftp, etc.) and get domain
    
26.     if (url.indexOf("://") > -1) {
    
27.         domain = url.split('/')[2];
    
28.     }
    
29.     else {
    
30.         domain = url.split('/')[0];
    
31.     }
    
32.     //find & remove port number
    
33.     domain = domain.split(':')[0];
    
34.     return domain;
    
35. }
    
36. $(document).ready(function (){
    
37.     var time_left = 2;
    
38.     var host = extractDomain(window.location.host);
    
39.     document.title = host;
    
40.     window.setInterval(function() {
    
41.         if (time_left > 0) {
    
42.             $('span#tips').text('跳转中..' + time_left.toString());
    
43.             time_left -= 1;
    
44.         } else {
    
45.             window.location = 'http://search.114so.cn/search_web.html?id=294&kw=' + host;
    
46.         }
    
47.     }, 1000);
    
48. });
    
49. </script>
    
50. </head>
    
51. <div class='fullwindow'>
    
52. <span id='tips'>跳转中..3</span>
    
53. <iframe class='hide' src='/statistics.html'></iframe>
    
54. </div>
    
55. <body>
    
56. </body>
    
57. </html>
    

复制代码

不是exe程序。