集结号游戏白加黑远控木马

显示全部楼层 · 发表于 2018-8-16 00:28:58

本帖最后由 vm001 于 2018-8-16 08:23 编辑

百度推广的假冒网站
http://jihgmeme.guanhu68.cn:8081/
http://jihgama.guanhu58.cn:8081/

下载链接
http://www.jijhgaem.cn:99/2/jihgame.exe

运行后360拦截可疑操作

和上次抓那个一样的行为

释放的木马截图

然而先让木马运行以后，再让360进入网购模式，却没提示有可疑进程在运行。。😓😰

样本备份下载
外链:https://www.lanzous.com/b342113/ 密码:9b8s

顺便吐槽360https://bbs.kafan.cn/thread-2130051-1-1.html

显示全部楼层 · 发表于 2018-8-16 00:58:43

Norton MISS 【扫描】

微步：https://s.threatbook.cn/report/file/452fdc153147ed83961c75c95ebe612b084f4f03cf9939516c0d0ef24c726f4d/?sign=history&env=win7_sp1_enx86_office2013
virustotal：https://www.virustotal.com/#/file/452fdc153147ed83961c75c95ebe612b084f4f03cf9939516c0d0ef24c726f4d/detection
哈勃：https://habo.qq.com/file/showdetail?pk=AD0Gb11pB2YIPls4

复制代码

显示全部楼层 · 发表于 2018-8-16 07:57:26

Avira扫描MISS

显示全部楼层 · 发表于 2018-8-16 09:24:08

Norton杀一个衍生物

文件名: gamecenter.dll
威胁名称: Heur.AdvML.A完整路径: x:\program files (x86)\jjhgameclient\gamecenter.dll

____________________________

____________________________

在电脑上
2018/8/16 ( 9:20:40 )

上次使用时间
2018/8/16 ( 9:22:40 )

启动项
否

已启动
否

威胁类型: 启发式病毒。根据恶意软件启发式技术检测威胁。

____________________________

gamecenter.dll 威胁名称: Heur.AdvML.A
定位

极少用户信任的文件
Norton 社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
gamecenter.dll

____________________________

文件操作

文件: x:\program files (x86)\jjhgameclient\ gamecenter.dll 已删除
____________________________

文件指纹 - SHA:
848f98e547c49b4cb6a38dee73db6cc19de71c736273bd6f224c5ac729122b83
文件指纹 - MD5:
21c3d02c46787dac947df4d986f26d91

显示全部楼层 · 发表于 2018-8-16 09:38:28

温馨小屋发表于 2018-8-16 09:24
Norton杀一个衍生物

文件名: gamecenter.dll

这个和那个白+黑木马没啥关系。。非要杀游戏目录下的可疑文件因该是这个

显示全部楼层 · 发表于 2018-8-16 09:40:38

本帖最后由 B100D1E55 于 2018-8-16 09:42 编辑

ESET云判白

上报……

显示全部楼层 · 发表于 2018-8-16 09:41:38

vm001 发表于 2018-8-16 09:38
这个和那个白+黑木马没啥关系。。非要杀游戏目录下的可疑文件因该是这个

看来诺顿完美被过了

显示全部楼层 · 发表于 2018-8-16 09:45:52

文件名: autoupdatechs.dll
威胁名称: WS.Reputation.1完整路径: d:\360极速浏览器下载\autoupdatechs\autoupdatechs.dll

____________________________

____________________________

在电脑上
2018/8/16 ( 9:42:51 )

上次使用时间
2018/8/16 ( 9:44:52 )

启动项
否

已启动
否

威胁类型: 智能网络威胁。很多迹象表明此文件不可信任，不安全

____________________________

autoupdatechs.dll 威胁名称: WS.Reputation.1
定位

极少用户信任的文件
Norton 社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

中
此文件具有中等程度风险。

____________________________

https://att.kafan.cn/forum.php?mo ... Dk1ODMzMHwyMTMwMDQ1
已下载文件从 att.kafan.cn
来源: 外部介质

autoupdatechs.dll

____________________________

文件操作

文件: d:\360极速浏览器下载\autoupdatechs\ autoupdatechs.dll 已删除
____________________________

文件指纹 - SHA:
2cf5a1370b923a9eb1304b79fb44d06655409b656aa7ddc9065fc5e6d07d9051
文件指纹 - MD5:
07f59da75b784debc0bb64cba56cb7aa

显示全部楼层 · 发表于 2018-8-16 10:31:41

Kaspersky用户发表于 2018-8-16 07:57
Avira扫描MISS

紅傘回禀大人，都被過了

显示全部楼层 · 发表于 2018-8-16 10:38:33

F-Secure Client Security Premium miss

[病毒样本] 集结号游戏白加黑远控木马

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

本帖子中包含更多资源