收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 BadJoke
1234下一页
返回列表 发新帖
查看: 3953|回复: 35
收起左侧

[病毒样本] BadJoke

  [复制链接]
安全守护者
头像被屏蔽
发表于 2018-8-28 08:14:48 | 显示全部楼层 |阅读模式

谁敢双击,以身试毒

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

左手
发表于 2018-8-28 08:26:04 | 显示全部楼层
本帖最后由 左手 于 2018-8-28 08:28 编辑
  1. 2018/8/28 星期二 08:22:25    创建文件 风险提示:低风险    允许
  2. 进程: c:\users\administrator\desktop\hrsword.exe
  3. 目标: C:\Users\Administrator\AppData\Local\Temp\F96B.tmp\F98B.tmp\F98C.bat
  4. 规则: [应用程序]?:\*\*\*\* -> [文件]*temp\*; *.bat

  6. 2018/8/28 星期二 08:22:29    创建文件 风险提示:低风险    允许
  7. 进程: c:\users\administrator\desktop\hrsword.exe
  8. 目标: C:\Users\Administrator\Desktop\helper.exe
  9. 规则: [应用程序]?:\*\*\*\* -> [文件组]《询问》f909_低优先_询问桌面/开始菜单 -> [文件]c:\users\*\desktop\*

  11. 2018/8/28 星期二 08:22:29    修改文件 风险提示:敏感    阻止
  12. 进程: c:\users\administrator\desktop\hrsword.exe
  13. 目标: C:\Users\Administrator\Desktop
  14. 规则: [应用程序]?:\*\*\*\* -> [文件]c:\users\administrator\*

  16. 2018/8/28 星期二 08:22:35    创建新进程 风险提示:未知    允许
  17. 进程: c:\users\administrator\desktop\hrsword.exe
  18. 目标: c:\windows\system32\cmd.exe
  19. 命令行: "C:\Windows\system32\cmd.exe" /c "C:\Users\Administrator\AppData\Local\Temp\F96B.tmp\F98B.tmp\F98C.bat C:\Users\Administrator\Desktop\HRsword.exe"
  20. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [子应用程序]?:\windows\system32\cmd.exe

  22. 2018/8/28 星期二 08:22:41    创建新进程 风险提示:未知    阻止
  23. 进程: c:\windows\system32\cmd.exe
  24. 目标: c:\windows\system32\reg.exe
  25. 命令行: reg  add HKLM\SOFTWARE\MICROSOFT\WINDOWS\RUN /v Auto /t REG_SZ /d "C:\Users\Administrator\Desktop\helper.exe"
  26. 规则: [应用程序]?:\windows\system32\cmd.exe -> [子应用程序]c:\windows\system32\reg.exe

  28. 2018/8/28 星期二 08:22:46    创建新进程 风险提示:未知    允许
  29. 进程: c:\windows\system32\cmd.exe
  30. 目标: c:\users\administrator\desktop\helper.exe
  31. 命令行: C:\Users\Administrator\Desktop\helper.exe
  32. 规则: [应用程序]?:\windows\system32\cmd.exe -> [子应用程序]*.exe

  34. 2018/8/28 星期二 08:22:54    创建新进程 风险提示:未知    允许
  35. 进程: c:\users\administrator\desktop\helper.exe
  36. 目标: c:\windows\system32\cmd.exe
  37. 命令行: "C:\Windows\system32\cmd.exe" /c "C:\Users\Administrator\AppData\Local\Temp\6547.tmp\6548.tmp\6549.bat C:\Users\Administrator\Desktop\helper.exe"
  38. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [子应用程序]?:\windows\system32\cmd.exe

  40. 2018/8/28 星期二 08:22:59    创建新进程 风险提示:未知    允许
  41. 进程: c:\windows\system32\cmd.exe
  42. 目标: c:\users\administrator\desktop\helper.exe
  43. 命令行: C:\Users\Administrator\Desktop\helper.exe
  44. 规则: [应用程序]?:\windows\system32\cmd.exe -> [子应用程序]*.exe

  46. 2018/8/28 星期二 08:23:13    从其他进程复制句柄 风险提示:高风险    允许
  47. 进程: c:\windows\system32\cmd.exe
  48. 目标: c:\users\administrator\desktop\helper.exe
  49. 句柄: (File) \Device\NamedPipe
  50. 规则: [应用程序]?:\windows\system32\cmd.exe

  52. 2018/8/28 星期二 08:23:18    创建新进程 风险提示:未知    允许
  53. 进程: c:\users\administrator\desktop\helper.exe
  54. 目标: c:\windows\system32\cmd.exe
  55. 命令行: "C:\Windows\system32\cmd.exe" /c "C:\Users\Administrator\AppData\Local\Temp\9887.tmp\9888.tmp\9889.bat C:\Users\Administrator\Desktop\helper.exe"
  56. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [子应用程序]?:\windows\system32\cmd.exe

  58. 2018/8/28 星期二 08:23:22    创建新进程 风险提示:未知    允许
  59. 进程: c:\users\administrator\desktop\helper.exe
  60. 目标: c:\windows\system32\cmd.exe
  61. 命令行: "C:\Windows\system32\cmd.exe" /c "C:\Users\Administrator\AppData\Local\Temp\D02A.tmp\D02B.tmp\D02C.bat C:\Users\Administrator\Desktop\helper.exe"
  62. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [子应用程序]?:\windows\system32\cmd.exe

  64. 2018/8/28 星期二 08:23:24    创建新进程 风险提示:未知    允许
  65. 进程: c:\users\administrator\desktop\helper.exe
  66. 目标: c:\windows\system32\cmd.exe
  67. 命令行: "C:\Windows\system32\cmd.exe" /c "C:\Users\Administrator\AppData\Local\Temp\E2DF.tmp\E2E0.tmp\E2E1.bat C:\Users\Administrator\Desktop\helper.exe"
  68. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [子应用程序]?:\windows\system32\cmd.exe

  70. 2018/8/28 星期二 08:23:29    创建新进程 风险提示:未知    允许
  71. 进程: c:\users\administrator\desktop\helper.exe
  72. 目标: c:\windows\system32\cmd.exe
  73. 命令行: "C:\Windows\system32\cmd.exe" /c "C:\Users\Administrator\AppData\Local\Temp\E2EF.tmp\E2F0.tmp\E2F1.bat C:\Users\Administrator\Desktop\helper.exe"
  74. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [子应用程序]?:\windows\system32\cmd.exe

  76. 2018/8/28 星期二 08:23:32    创建新进程 风险提示:未知    允许
  77. 进程: c:\users\administrator\desktop\helper.exe
  78. 目标: c:\windows\system32\cmd.exe
  79. 命令行: "C:\Windows\system32\cmd.exe" /c "C:\Users\Administrator\AppData\Local\Temp\F141.tmp\F151.tmp\F152.bat C:\Users\Administrator\Desktop\helper.exe"
  80. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [子应用程序]?:\windows\system32\cmd.exe

  82. 2018/8/28 星期二 08:23:35    创建新进程 风险提示:未知    允许
  83. 进程: c:\users\administrator\desktop\helper.exe
  84. 目标: c:\windows\system32\cmd.exe
  85. 命令行: "C:\Windows\system32\cmd.exe" /c "C:\Users\Administrator\AppData\Local\Temp\F150.tmp\F161.tmp\F162.bat C:\Users\Administrator\Desktop\helper.exe"
  86. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [子应用程序]?:\windows\system32\cmd.exe

  88. 2018/8/28 星期二 08:23:42    创建新进程 风险提示:未知    允许
  89. 进程: c:\users\administrator\desktop\helper.exe
  90. 目标: c:\windows\system32\cmd.exe
  91. 命令行: "C:\Windows\system32\cmd.exe" /c "C:\Users\Administrator\AppData\Local\Temp\FC0A.tmp\FC0B.tmp\FC0C.bat C:\Users\Administrator\Desktop\helper.exe"
  92. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [子应用程序]?:\windows\system32\cmd.exe

  94. 2018/8/28 星期二 08:23:45    创建新进程 风险提示:未知    允许
  95. 进程: c:\users\administrator\desktop\helper.exe
  96. 目标: c:\windows\system32\cmd.exe
  97. 命令行: "C:\Windows\system32\cmd.exe" /c "C:\Users\Administrator\AppData\Local\Temp\FC1A.tmp\FC1B.tmp\FC1C.bat C:\Users\Administrator\Desktop\helper.exe"
  98. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [子应用程序]?:\windows\system32\cmd.exe

  100. 2018/8/28 星期二 08:23:49    修改其他进程的内存 风险提示:高风险    允许
  101. 进程: c:\windows\system32\cmd.exe
  102. 目标: c:\users\administrator\desktop\helper.exe
  103. 规则: [应用程序]?:\windows\system32\cmd.exe

  105. 2018/8/28 星期二 08:23:54    修改其他进程的内存 风险提示:高风险    阻止
  106. 进程: c:\users\administrator\desktop\helper.exe
  107. 目标: c:\windows\system32\cmd.exe
  108. 规则: [应用程序]* -> [目标应用程序]c:\windows\*

  110. 2018/8/28 星期二 08:23:57    创建新进程 风险提示:未知    允许
  111. 进程: c:\users\administrator\desktop\helper.exe
  112. 目标: c:\windows\system32\cmd.exe
  113. 命令行: "C:\Windows\system32\cmd.exe" /c "C:\Users\Administrator\AppData\Local\Temp\2674.tmp\2675.tmp\2676.bat C:\Users\Administrator\Desktop\helper.exe"
  114. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [子应用程序]?:\windows\system32\cmd.exe



复制代码


创建 修改 CMD
就是和CMD之间的互动。
好像没有什么。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

Jirehlov1234
发表于 2018-8-28 08:30:44 | 显示全部楼层
BD

ATD击杀(malicious behavior)
hrsword.exe
e637.bat
helper.exe
回复

举报

ziyerain2015
发表于 2018-8-28 08:37:44 | 显示全部楼层
360 QVM 双击多了一堆\conhost.exe
回复

举报

Miostartos
发表于 2018-8-28 09:05:11 | 显示全部楼层
触发了WD的“首次看到时阻止”
但是没识别出来
回复

举报

迷惘的执著
发表于 2018-8-28 09:21:30 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

BE_HC
发表于 2018-8-28 09:27:48 | 显示全部楼层
Norton扫描KILL
沙箱双击降权



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

vm001
发表于 2018-8-28 09:36:25 | 显示全部楼层
2018-08-28 09:35:15     
恶意软件(HEUR/QVM18.1.796E.Malware.Gen)MD5:10f36fcd07d9ad3642c713e2a5f50b24已删除此文件,如果您发现误删,可从隔离区恢复此文件。        
c:\users\admin\desktop\hrsword\hrsword.exe
回复

举报

www-tekeze
发表于 2018-8-28 09:52:04 | 显示全部楼层
火绒扫描miss,智量killed 。。。盗用火绒剑的图标。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

www-tekeze
发表于 2018-8-28 10:10:31 | 显示全部楼层
双击后释放一个helper.exe,两者都会调用cmd,都是命令解释器,然后形成N多条进程,CPU不堪重负死机。
其它破坏行为未发现,正宗的Badjoke。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-4-19 14:50 , Processed in 0.138445 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表