搜索
楼主: molicn
收起左侧

[病毒样本] 国外病毒样本很久没去抓毒了

[复制链接]
c/mm
发表于 2019-2-9 20:31:24 | 显示全部楼层
avast

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
左手
发表于 2019-2-9 21:30:07 | 显示全部楼层
  1. 2019/2/9 星期六 21:26:31    修改注册表值 风险提示:木马    阻止
  2. 进程: c:\users\administrator\appdata\local\temp\16818823\sek.exe
  3. 目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\j5ygop
  4. 值: C:\Users\ADMINI~1\AppData\Local\Temp\16818823\sek.exe C:\Users\ADMINI~1\AppData\Local\Temp\16818823\LNK_CV~1
  5. 规则: [应用程序组]a082_《行为防御》_自动运行 -> [应用程序]c:\users\*\* -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  6. 2019/2/9 星期六 21:26:33    加载动态链接库 风险提示:中等程度风险    允许
  7. 进程: c:\users\administrator\appdata\local\temp\16818823\sek.exe
  8. 目标: c:\windows\system32\dnsapi.dll
  9. 规则: [应用程序]* -> [动态链接库]c:\windows\system32\dnsapi.dll

  10. 2019/2/9 星期六 21:26:53    创建新进程 风险提示:未知    允许
  11. 进程: c:\users\administrator\appdata\local\temp\16818823\sek.exe
  12. 目标: c:\windows\microsoft.net\framework\v4.0.30319\regsvcs.exe
  13. 命令行: "C:\windows\Microsoft.NET\Framework\v4.0.30319\RegSvcs.exe"
  14. 规则: [应用程序]* -> [子应用程序]c:\windows\microsoft.net\framework\*\*

  15. 2019/2/9 星期六 21:27:01    修改其他进程的内存 风险提示:高风险    阻止
  16. 进程: c:\users\administrator\appdata\local\temp\16818823\sek.exe
  17. 目标: c:\windows\microsoft.net\framework\v4.0.30319\regsvcs.exe
  18. 规则: [应用程序]* -> [目标应用程序]c:\windows\*

  19. 2019/2/9 星期六 21:27:01    修改其他进程的内存 风险提示:高风险    阻止
  20. 进程: c:\users\administrator\appdata\local\temp\16818823\sek.exe
  21. 目标: c:\windows\microsoft.net\framework\v4.0.30319\regsvcs.exe
  22. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\appdata\local\temp\16818823\sek.exe -> [目标应用程序]c:\windows\microsoft.net\framework\v4.0.30319\regsvcs.exe

  23. 2019/2/9 星期六 21:27:08    修改其他进程的线程 风险提示:高风险    阻止
  24. 进程: c:\users\administrator\appdata\local\temp\16818823\sek.exe
  25. 目标: c:\windows\microsoft.net\framework\v4.0.30319\regsvcs.exe
  26. 规则: [应用程序]* -> [目标应用程序]c:\windows\*

  27. 2019/2/9 星期六 21:27:09    修改其他进程的内存 风险提示:高风险    阻止
  28. 进程: c:\users\administrator\appdata\local\temp\16818823\sek.exe
  29. 目标: c:\windows\microsoft.net\framework\v4.0.30319\regsvcs.exe
  30. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\appdata\local\temp\16818823\sek.exe -> [目标应用程序]c:\windows\microsoft.net\framework\v4.0.30319\regsvcs.exe

  31. 2019/2/9 星期六 21:27:09    修改其他进程的线程 风险提示:高风险    阻止
  32. 进程: c:\users\administrator\appdata\local\temp\16818823\sek.exe
  33. 目标: c:\windows\microsoft.net\framework\v4.0.30319\regsvcs.exe
  34. 规则: [应用程序组]→a999_★《临时规则_安装模式》★ -> [应用程序]c:\users\administrator\appdata\local\temp\16818823\sek.exe -> [目标应用程序]c:\windows\microsoft.net\framework\v4.0.30319\regsvcs.exe

复制代码

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2019-2-9 21:45:34 | 显示全部楼层

红伞,监控1X,扫描1X,清空。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2019-2-9 21:47:06 | 显示全部楼层
智量Heur清空,火绒kill 1X,有空双击。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2019-2-9 21:53:45 | 显示全部楼层

ESET,清空。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2019-2-9 21:56:11 | 显示全部楼层

安天智甲、管家无BD,清空!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
momo5269
发表于 2019-2-9 22:07:23 | 显示全部楼层
VSE 排除区解压出来即删

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2019-2-9 22:13:56 | 显示全部楼层
www-tekeze 发表于 2019-2-9 21:47
智量Heur清空,火绒kill 1X,有空双击。。

双击,会自动打开“My Documents”,添加自启、联网,但没任何流量。

重启后有个自启进程,用火绒和智量快速扫描没发现任何问题,会偷偷上传用户数据?? 不明觉厉!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +3 收起 理由
badanwfs + 3 老哥,你有几台电脑?

查看全部评分

阿里小白帽
发表于 2019-2-9 23:02:07 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
curfew
发表于 2019-2-10 01:02:17 | 显示全部楼层
www-tekeze 发表于 2019-2-9 22:13
双击,会自动打开“My Documents”,添加自启、联网,但没任何流量。

重启后有个自启进程,用火绒和智 ...

Autoit本身是个正经软件,跟按键精灵差不多。这里不一定是上传用户数据,也有可能是下载器。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-4-20 16:58 , Processed in 0.029188 second(s), 4 queries , MemCache On.

快速回复 返回顶部 返回列表