延禧攻略@407_2.exe

显示全部楼层 · 发表于 2018-8-12 04:24:29

本帖最后由 chenrui19930 于 2018-8-12 05:25 编辑

文件位置：

hxxp://22697.xc.k70k.com/xiaz/%E5%BB%B6%E7%A6%A7%E6%94%BB%E7%95%A5@407_2.exe

补充百度网盘地址：
链接: https://pan.baidu.com/s/1VoGOzAo7ibuyMv6p82VMMQ 密码: zmza （由于使用百度盘离线下载获得，未打包和加密）

中文名字叫延禧攻略@407_2.exe，基本可以肯定是蹭热点的挂马，相同木马文件也被挂到安徽一二三网络科技有限公司（ahyessoft.com）的页面上，详见我的帖子
https://bbs.kafan.cn/thread-2129771-1-1.html

BD报Gen:Variant.Application.Razy.219992

看名字是Razy系列勒索的变种，可以双击试试看

分析了一下文件行为，发现样本外联 pieshua.com的主页和安徽一二三网络科技有限公司（ahyessoft.com）的页面一模一样，这样看来怕不是挂马，再联系到这两家公司的主营业务都有 云下载器和软件分发....

显示全部楼层 · 发表于 2018-8-12 06:44:53

刚下载，Norton自动查杀。

显示全部楼层 · 发表于 2018-8-12 08:23:33

卡巴
not-a-virus:HEUR:Downloader.Win32.Generic

显示全部楼层 · 发表于 2018-8-12 08:26:22

麻烦发之前校验下哈希咧。
一模一样的

显示全部楼层 · 发表于 2018-8-12 08:47:57

PUA:Win32/XingSof

显示全部楼层 · 发表于 2018-8-12 09:17:43

ESET Win32/Adware.Qjwmonkey.H

显示全部楼层 · 发表于 2018-8-12 09:27:27

火绒不报，智量报。

显示全部楼层 · 发表于 2018-8-12 09:52:42

本帖最后由 www-tekeze 于 2018-8-12 10:07 编辑

是个下载器，火绒官方明确说过不报下载器，只检测下载下来的。。。
取消所有默认勾选最终还是会后台静默安装QQ视频。。

但下载资源不存在，不知是否恶意。

显示全部楼层 · 发表于 2018-8-12 11:25:45

追剧中...................... 这还用下载吗~ 免费看的啊~

显示全部楼层 · 发表于 2018-8-12 11:34:04

[病毒样本] 延禧攻略@407_2.exe

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源