Xiaoba 的群件

松竹承茂

ELOHIM 发表于 2018-11-30 22:05
扫描器没问题，微软的战略策略。

邮箱地址P一下再放上来吧，不然几天以后垃圾邮件应该满了。

没p

松竹承茂

ELOHIM 发表于 2018-11-30 22:05
扫描器没问题，微软的战略策略。

邮箱地址P一下再放上来吧，不然几天以后垃圾邮件应该满了。

手动提交的最终结果什么时候可以出来呢

www-tekeze

解压后得到7个文件，智量本地Heur清空，火绒 kill 2X 。。

松竹承茂

ELOHIM 发表于 2018-11-30 22:05
扫描器没问题，微软的战略策略。

邮箱地址P一下再放上来吧，不然几天以后垃圾邮件应该满了。

关键行为

行为描述：	直接调用系统关键API
详情信息：	Index = 0x0000009A, Name: NtQueryInformationProcess, Instruction Address = 0x00FB61DD Index = 0x000000E5, Name: NtSetInformationThread, Instruction Address = 0x0113BE07 Index = 0x00000074, Name: NtOpenFile, Instruction Address = 0x011EC4CE Index = 0x00000032, Name: NtCreateSection, Instruction Address = 0x011EC4CE Index = 0x0000006C, Name: NtMapViewOfSection, Instruction Address = 0x01015F84 Index = 0x0000010B, Name: NtUnmapViewOfSection, Instruction Address = 0x01015F84 Index = 0x00000019, Name: NtClose, Instruction Address = 0x01015F84 Index = 0x00000019, Name: NtClose, Instruction Address = 0x011472BF Index = 0x00000089, Name: NtProtectVirtualMemory, Instruction Address = 0x01105A71
行为描述：	直接获取CPU时钟
详情信息：	EAX = 0xcf88fb8d, EDX = 0x000000b8 EAX = 0xcf88fbd9, EDX = 0x000000b8 EAX = 0xcf88fc25, EDX = 0x000000b8 EAX = 0xcf88fc71, EDX = 0x000000b8 EAX = 0xcf88fcbd, EDX = 0x000000b8 EAX = 0xcf88fd09, EDX = 0x000000b8 EAX = 0xcf88fd55, EDX = 0x000000b8 EAX = 0xcf88fda1, EDX = 0x000000b8 EAX = 0xcf88fded, EDX = 0x000000b8 EAX = 0xcf88fe39, EDX = 0x000000b8
行为描述：	获取窗口截图信息
详情信息：	Foreground window Info: HWND = 0x0001034a, DC = 0x01010055. Foreground window Info: HWND = 0x00010354, DC = 0x01010055. Foreground window Info: HWND = 0x0001035a, DC = 0x01010055. Foreground window Info: HWND = 0x0001035c, DC = 0x01010057. Foreground window Info: HWND = 0x00010362, DC = 0x01010057. Foreground window Info: HWND = 0x00010368, DC = 0x01010057. Foreground window Info: HWND = 0x00010372, DC = 0x01010055. Foreground window Info: HWND = 0x00010372, DC = 0x01010057. Foreground window Info: HWND = 0x00010378, DC = 0x01010055. Foreground window Info: HWND = 0x00010376, DC = 0x01010055.
行为描述：	VMWare特殊指令检测虚拟机
详情信息：	N/A

进程行为

• 创建本地线程
• 枚举进程
  

[url=]更多>>[/url]


注册表行为

• 修改注册表
• 删除注册表键值
• 删除注册表键
  

[url=]更多>>[/url]


其他行为

• 直接调用系统关键API
• 检测自身是否被调试
• 创建互斥体
• 创建事件对象
• 打开事件
• 打开互斥体
• 查找指定窗口
• 枚举窗口
• 搜索kernel32.dll基地址
• 调整进程token权限
• 窗口信息
• 获取窗口截图信息
• 调用Sleep函数
• 隐藏指定窗口
• 直接获取CPU时钟
• VMWare特殊指令检测虚拟机
• https://habo.qq.com/file/showdetail?pk=ADQGb11vB2IIOFs7U2Y%3D
  

c/mm

KILL 4个 还有3个_zip解压出来的是否有毒？

www-tekeze

BE_HC 发表于 2018-11-30 21:45
蓝奏网盘分流

Norton Scan Kill All

总共7个，火绒报了两个没加壳的，剩余5个都加了VMP，NS的B杀会不会报的壳。。

松竹承茂

ELOHIM 发表于 2018-11-30 21:59
一扫没反应，
二扫的结果。

把wd miss的文件传到VT，报毒的杀软都是不知名的杀软，卡巴斯基等主流不报毒，（可笑的是迈克菲检测的是WannaCry的变种，真是醉了）可以肯定此文件对系统没有破坏行为，但是如果输密码一定会被盗号，这东西杀不杀无所谓，反正辅助99%有问题，我又不玩游戏

BE_HC

www-tekeze 发表于 2018-11-30 22:41
总共7个，火绒报了两个没加壳的，剩余5个都加了VMP，NS的B杀会不会报的壳。。

https://www.symantec.com/security_response/sape/

看这个解释，只能说，感觉可能会报壳

www-tekeze

BE_HC 发表于 2018-11-30 22:56
看这个解释，只能说，感觉可能会报壳

智量对加壳的也会更敏感。。。正常软件很少这样干，加强壳也许就是找杀。。

心心相印

bd kill 5