带数签的下载器

BE_HC

SUARP-BIGNUM 发表于 2019-2-15 14:06
诺顿居然kill了，这个带数签耶。
你怎么换头像了？

Norton怎么可能杀，刚才搞东西忘记编辑惹；换头像很正常吧

BE_HC

Human Expert Analysis Results -->Riskware/Downer

-->锁定特定浏览器主页为

1. https://hao.360.cn/?src=lm&ls=n482bfbdf97
   
2. http://hao.97dnso.com/tab_h123
   
3. http://123.sogou.com.daohang.com.97dnso.com/tab_njs
   
4. http://js2.97dnso.com/tab_js

复制代码

-->检测调试工具,沙盒及杀毒软件



-->生成了可疑的目录

1. %SYSTEMDRIVE%\Download
   
2. %USERPROFILE%\UIDowner
   
3. %TEMP%\AKzIsetP8A2wYIma
   
4. \Temporary Internet Files\Content.IE5\0MOV25IO\
   

复制代码

-->可疑的网络连接,疑似从以下域名中获取要下载的文件列表

1. <source.downerapi.com>
   
2. <api.downerapi.com>
   
3. <static.downerapi.com>
   
4. 116.207.118.107:80
   
5. 183.36.108.201:443
   
6. 113.96.156.155:80
   
7. 113.107.216.119:80
   
8. 121.9.221.102:80
   
9. 222.186.10.176:80
   
10. 47.94.215.175:80

复制代码

-->通过网络下载以下文件

1. Setup_oemjmxt.exe
   
2. Inst3__3112536__3f7372633d6c6d266c733d6e36343235316635383964__68616f2e3336302e636e__0c44.exe
   
3. DeskSetup_3005.exe
   
4. ASE@9916.exe
   
5. PhotoViewer_3221137864_pc6_001.exe
   
6. IQIYIsetup_riyue@kb002.exe

复制代码

<安装后截图>