搜索
楼主: SUARP-BIGNUM
收起左侧

[病毒样本] 一个免杀远控

  [复制链接]
jdsh
发表于 2019-7-13 15:08:20 | 显示全部楼层
FSP   miss
2019/7/13 14:59:59    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\users\jdsh\downloads\图片\图片.exe
命令行: "C:\Users\jdsh\Downloads\图片\图片.exe"
规则: [应用程序]*

2019/7/13 15:00:01    创建新进程    允许
进程: c:\windows\system32\svchost.exe
目标: c:\users\jdsh\downloads\图片\图片.exe
命令行: "C:\Users\jdsh\Downloads\图片\图片.exe"
规则: [应用程序]*

2019/7/13 15:00:02    修改文件    允许
进程: c:\users\jdsh\downloads\图片\图片.exe
目标: \Device\NamedPipe\__fships_hook_server__
规则: [文件]*

2019/7/13 15:00:04    创建新进程    允许
进程: c:\users\jdsh\downloads\图片\图片.exe
目标: c:\users\jdsh\downloads\图片\data\qqnetbar.exe
命令行: "Data\QQNetBar.exe"
规则: [应用程序]*

2019/7/13 15:00:07    创建文件夹    允许
进程: c:\users\jdsh\downloads\图片\data\qqnetbar.exe
目标: C:\Users\jdsh\AppData\Roaming\playgame
规则: [文件]*

2019/7/13 15:00:08    设置文件夹隐藏属性    允许
进程: c:\users\jdsh\downloads\图片\data\qqnetbar.exe
目标: C:\Users\jdsh\AppData\Roaming\playgame
规则: [文件]*

2019/7/13 15:00:10    创建文件    允许
进程: c:\users\jdsh\downloads\图片\data\qqnetbar.exe
目标: C:\Users\jdsh\AppData\Roaming\playgame\pass.gif
规则: [文件]*

2019/7/13 15:00:13    修改文件    允许
进程: c:\users\jdsh\downloads\图片\data\qqnetbar.exe
目标: C:\Users\jdsh\AppData\Roaming\playgame\pass.gif
规则: [文件]*

2019/7/13 15:00:14    创建文件    允许
进程: c:\users\jdsh\downloads\图片\data\qqnetbar.exe
目标: C:\Users\jdsh\AppData\Roaming\playgame\QQNetBar.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2019/7/13 15:00:16    创建文件    允许
进程: c:\users\jdsh\downloads\图片\data\qqnetbar.exe
目标: C:\Users\jdsh\AppData\Roaming\playgame\UClientStartup.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2019/7/13 15:00:18    修改文件    允许
进程: c:\users\jdsh\downloads\图片\data\qqnetbar.exe
目标: C:\Users\jdsh\AppData\Roaming\playgame\QQNetBar.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2019/7/13 15:00:21    修改文件    允许
进程: c:\users\jdsh\downloads\图片\data\qqnetbar.exe
目标: C:\ProgramData\F-Secure\Log\ComputerSecurity\ShellExtension.log
规则: [文件]*

2019/7/13 15:00:23    修改文件    允许
进程: c:\users\jdsh\downloads\图片\data\qqnetbar.exe
目标: C:\ProgramData\F-Secure\Log\CCF\fs_customization_reader.log
规则: [文件]*

2019/7/13 15:00:57    修改文件    允许
进程: c:\users\jdsh\downloads\图片\data\qqnetbar.exe
目标: \Device\NamedPipe\FS_CCFIPC_9789836347330146333
规则: [文件]*

2019/7/13 15:00:58    修改文件    允许
进程: c:\users\jdsh\downloads\图片\data\qqnetbar.exe
目标: \Device\NamedPipe\srvsvc
规则: [文件]*

2019/7/13 15:01:02    创建新进程    允许
进程: c:\users\jdsh\downloads\图片\data\qqnetbar.exe
目标: c:\users\jdsh\appdata\roaming\playgame\qqnetbar.exe
命令行: "C:\Users\jdsh\AppData\Roaming\playgame\QQNetBar.exe" lvse
规则: [应用程序]*

2019/7/13 15:01:10    创建新进程    允许
进程: c:\users\jdsh\downloads\图片\data\qqnetbar.exe
目标: c:\windows\system32\rundll32.exe
命令行: rundll32.exe C:\Windows\System32\shimgvw.dll,ImageView_Fullscreen C:\Users\jdsh\Downloads\图片\Data\使用说明.png
规则: [应用程序]*

2019/7/13 15:01:17    修改文件 (4)    允许
进程: c:\users\jdsh\appdata\roaming\playgame\qqnetbar.exe
目标: C:\Users\jdsh\AppData\Roaming\playgame\pass.gif
规则: [文件]*

2019/7/13 15:01:24    修改文件 (2)    允许
进程: c:\users\jdsh\appdata\roaming\playgame\qqnetbar.exe
目标: C:\Users\jdsh\AppData\Roaming\playgame\QQNetBar.exe
规则: [文件组]所有执行文件 -> [文件]*; *.exe

2019/7/13 15:01:26    修改文件    允许
进程: c:\users\jdsh\appdata\roaming\playgame\qqnetbar.exe
目标: C:\Users\jdsh\AppData\Roaming\playgame\UClientStartup.dll
规则: [文件组]所有执行文件 -> [文件]*; *.dll

2019/7/13 15:01:30    创建文件    允许
进程: c:\users\jdsh\appdata\roaming\playgame\qqnetbar.exe
目标: C:\QQGame.exe
规则: [文件]?:\

2019/7/13 15:01:31    修改文件    允许
进程: c:\users\jdsh\appdata\roaming\playgame\qqnetbar.exe
目标: C:\QQGame.exe
规则: [文件]?:\

2019/7/13 15:01:33    创建新进程    允许
进程: c:\users\jdsh\appdata\roaming\playgame\qqnetbar.exe
目标: c:\qqgame.exe
命令行: c:\QQGame.exe
规则: [应用程序]*

2019/7/13 15:01:38    底层键盘操作    阻止并结束进程
进程: c:\users\jdsh\appdata\roaming\playgame\qqnetbar.exe
规则: [应用程序]*

2019/7/13 15:01:45    修改文件    阻止并结束进程
进程: c:\qqgame.exe
目标: \Device\NamedPipe\__fships_hook_server__
规则: [文件]*

2019/7/13 15:01:47    访问网络    阻止并结束进程
进程: c:\users\jdsh\appdata\roaming\playgame\qqnetbar.exe
目标: TCP [本机 : 49504] ->  [120.24.231.105 : 5555]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]


skilly
发表于 2019-7-13 15:23:34 | 显示全部楼层
   a2挂咯

   


  各种花里胡哨的,记录键盘,访问摄像头,截图窗口.

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
iiieo
头像被屏蔽
发表于 2019-7-13 15:26:12 | 显示全部楼层
提示: 该帖被管理员或版主屏蔽
iiieo
头像被屏蔽
发表于 2019-7-13 16:51:49 | 显示全部楼层
提示: 该帖被管理员或版主屏蔽
iiieo
头像被屏蔽
发表于 2019-7-13 16:52:33 | 显示全部楼层

可以把截图删掉了?
www-tekeze
发表于 2019-7-13 20:37:56 | 显示全部楼层
5个文件,绒智都是杀2X,图片.exe 和 UClientStartup.dll 。。。剩余有空双击。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
DPT1
发表于 2019-7-13 21:02:04 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2019-7-13 21:56:49 | 显示全部楼层
2512975065 发表于 2019-7-13 14:18
运行QQNETBAR,火绒报毒

这个QQNetBar有阿里有效数签,怎么成勒索了。。    @火绒工程师

我这里双击没发现问题,只是会联网而已,智量主防也没反应!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2019-7-13 22:14:48 | 显示全部楼层
本帖最后由 www-tekeze 于 2019-7-13 22:37 编辑
www-tekeze 发表于 2019-7-13 21:56
这个QQNetBar有阿里有效数签,怎么成勒索了。。    @火绒工程师

我这里双击没发现问题,只是会 ...

刚才多次双击样本没重启,可能火绒出问题了。。。现在报黑dll为后门但不报QQNetBar.exe 。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
SUARP-BIGNUM
 楼主| 发表于 2019-7-13 22:23:58 | 显示全部楼层
www-tekeze 发表于 2019-7-13 22:14
刚才多次双击样本没重启,可能火绒出问题了,现在会报后门不是主防报勒索,但智量监控和主防都没反应,被 ...

头晕吧,这个样本活跃度很强
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-9-22 16:30 , Processed in 0.035610 second(s), 3 queries , MemCache On.

快速回复 返回顶部 返回列表