搜索
楼主: 记录微笑
收起左侧

[病毒样本] 恶意推广软件

[复制链接]
www-tekeze
发表于 2019-7-27 16:58:09 | 显示全部楼层

ESET,报4项,其中一个潜在。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2019-7-27 17:33:31 | 显示全部楼层
www-tekeze 发表于 2019-7-27 16:39
手机看帖,绒智占楼。。。火绒kill 2X,智量miss,有空双击。。

关闭火绒监控双击,被智量主防杀一个释放的exe,单独扫描Temp目录杀2X,其中一个报PUP。
PS:只要主防杀掉启动程序ipilajehlbfaj.exe就什么事都没了,game over 。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
a233
发表于 2019-7-27 17:41:43 | 显示全部楼层
www-tekeze 发表于 2019-7-27 17:33
关闭火绒监控双击,被智量主防杀一个释放的exe,单独扫描Temp目录杀2X,其中一个报PUP。
PS:只要主防杀 ...

我的小a也杀了这两个,可还是被捆绑了。。
www-tekeze
发表于 2019-7-27 18:37:48 | 显示全部楼层
a233 发表于 2019-7-27 17:41
我的小a也杀了这两个,可还是被捆绑了。。

很简单,拦截点靠后,恶意程序已经启动了。。。智量主防只杀了这一个,其它文件都来不及释放,我是退出智量让它释放完才扫描的。。。待会试试火绒,拦流氓应该比较拿手。。


a233
发表于 2019-7-27 18:41:25 | 显示全部楼层
www-tekeze 发表于 2019-7-27 18:37
很简单,拦截点靠后,恶意程序已经启动了。。。智量主防只杀了这一个,其它文件都来不及释放,我是退出智 ...

监控杀怎么拦截点靠后?
www-tekeze
发表于 2019-7-27 19:50:21 | 显示全部楼层
a233 发表于 2019-7-27 18:41
监控杀怎么拦截点靠后?

监控杀就不存在拦截点靠后?只是可能性比主防小而已。。。又试了一遍,当智量主防拦截时,任务管理器里没有ipilajehlbfaj这条进程,隔离后Temp里也没有这个文件,也就是说根本没有落地。。。

但小A监控拦截时已经晚了,你可以看下任务管理器,是不是已经调入内存跑起来了?这不就是拦截点靠后??



www-tekeze
发表于 2019-7-27 20:48:34 | 显示全部楼层
www-tekeze 发表于 2019-7-27 18:37
很简单,拦截点靠后,恶意程序已经启动了。。。智量主防只杀了这一个,其它文件都来不及释放,我是退出智 ...

退出智量、关闭火绒监控双击,动作多得一批,这推广简直是丧心病狂。。。还会释放一条驱动,但没有加载,因为会添加自启估计重启后才会加载,真要中招建议重装。。。火绒全部拦截没有漏的!

PS:关了火绒的联网控制,否则日志里起码有7、8条联网记录。


【1】2019-07-27 20:34:18,高级防护,自定义防护,explorer.exe触犯自定义防护规则, 已阻止

操作进程:C:\Windows\explorer.exe
命令行:C:\Windows\explorer.exe /factory,{ceff45ee-c862-41de-aee2-a022c81eda92} -Embedding
防护项目:[结束]疑似木马/病毒行为
操作目标:【执行】 C:\Users\Wzz\AppData\Roaming\hao123JuziBrowser\hao123Juzi.exe
操作结果:已阻止

【2】2019-07-27 20:33:56,系统防护,系统加固,BaseSsffdrive.exe触犯文件防护规则, 已阻止

操作进程:C:\Program Files (x86)\ssffdrive\BaseSsffdrive.exe
命令行:"c:\Program Files (x86)\ssffdrive\BaseSsffdrive.exe" Install
父进程:C:\Users\Wzz\AppData\Local\Temp\RarSFX0\jzbrowser_7654_30527_i4_30527.exe
防护项目:系统目录
目标文件:C:\Windows\SysWOW64\drivers\ExpRunSvr.sys
操作结果:已阻止

【3】2019-07-27 20:33:53,系统防护,系统加固,hao123Juzi.exe触犯注册表防护规则, 已阻止

操作进程:C:\Users\Wzz\AppData\Roaming\hao123JuziBrowser\hao123Juzi.exe
命令行:"C:\Users\Wzz\AppData\Roaming\hao123JuziBrowser\hao123Juzi.exe" --class=3 --dword=1 --atb=1 --defb=1
父进程:C:\Users\Wzz\AppData\Local\Temp\7654\hao123_[c=1110]__94736538_d2_hao_.exe
防护项目:系统默认程序
目标注册表:HKEY_USERS\S-1-5-21-1825905054-776965196-2370468693-1000\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice\Progid
操作类型:【写入】
数据内容:hao123chprogid
操作结果:已阻止

【4】2019-07-27 20:33:50,系统防护,系统加固,hao123Juzi.exe触犯注册表防护规则, 已阻止

操作进程:C:\Users\Wzz\AppData\Roaming\hao123JuziBrowser\hao123Juzi.exe
命令行:"C:\Users\Wzz\AppData\Roaming\hao123JuziBrowser\hao123Juzi.exe" --class=3 --dword=1 --atb=1 --defb=1
父进程:C:\Users\Wzz\AppData\Local\Temp\7654\hao123_[c=1110]__94736538_d2_hao_.exe
防护项目:系统默认程序
目标注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.mht\
操作类型:【写入】
数据内容:hao123chprogid
操作结果:已阻止

【5】2019-07-27 20:33:44,系统防护,软件安装拦截,infected.exe尝试安装软件,已阻止

操作进程:\\?\UNC\;VBoxMiniRdr\;F:\vboxsrv\Download\infected20190727\infected.exe
安装软件:QQ浏览器
文件路径:C:\Users\Wzz\AppData\Local\Temp\RarSFX0\QQBrowser_Setup_9.2.5170.402_9.2_Coop_subid@30527.exe
操作结果:已阻止

【6】2019-07-27 20:33:38,系统防护,系统加固,hao123Juzi.exe触犯文件防护规则, 已阻止

操作进程:C:\Users\Wzz\AppData\Roaming\hao123JuziBrowser\hao123Juzi.exe
命令行:"C:\Users\Wzz\AppData\Roaming\hao123JuziBrowser\hao123Juzi.exe" --class=3 --dword=1 --atb=1 --defb=1
父进程:C:\Users\Wzz\AppData\Local\Temp\7654\hao123_[c=1110]__94736538_d2_hao_.exe
防护项目:恶意创建任务栏快捷方式
目标文件:C:\Users\Wzz\AppData\Roaming\Microsoft\Internet Explorer\Quick Launch\User Pinned\TaskBar\hao123桔子浏览器.lnk
操作结果:已阻止

【7】2019-07-27 20:33:28,高级防护,自定义防护,hao123_[c=1110]__94736538_d2_hao_.exe触犯自定义防护规则, 已阻止

操作进程:C:\Users\Wzz\AppData\Local\Temp\7654\hao123_[c=1110]__94736538_d2_hao_.exe
命令行:C:\Users\Wzz\AppData\Local\Temp\7654\hao123_[c=1110]__94736538_d2_hao_.exe
防护项目:[结束]疑似木马/病毒行为
操作目标:【执行】 C:\Users\Wzz\AppData\Roaming\hao123JuziBrowser\hao123Juzi.exe
操作结果:已阻止

【8】2019-07-27 20:33:18,高级防护,自定义防护,hao123_[c=1110]__94736538_d2_hao_.exe触犯自定义防护规则, 已阻止

操作进程:C:\Users\Wzz\AppData\Local\Temp\7654\hao123_[c=1110]__94736538_d2_hao_.exe
命令行:C:\Users\Wzz\AppData\Local\Temp\7654\hao123_[c=1110]__94736538_d2_hao_.exe
防护项目:[阻止]temp程序释放可疑文件
操作目标:【创建】 C:\Users\Wzz\AppData\Roaming\hao123JuziBrowser\hao123Juzi.exe
操作结果:已阻止

【9】2019-07-27 20:33:11,系统防护,软件安装拦截,ipilajehlbfaj.exe尝试安装软件,已阻止

操作进程:C:\Users\Wzz\AppData\Local\Temp\RarSFX0\ipilajehlbfaj.exe
安装软件:搜狐影音
文件路径:C:\Users\Wzz\AppData\Local\Temp\SoHuVA_4.5.77.0-c207715-nti-ng-tp-s.exe
操作结果:已阻止

【10】2019-07-27 20:33:10,系统防护,软件安装拦截,infected.exe尝试安装软件,已阻止

操作进程:\\?\UNC\;VBoxMiniRdr\;F:\vboxsrv\Download\infected20190727\infected.exe
安装软件:金山毒霸
文件路径:C:\Users\Wzz\AppData\Local\Temp\RarSFX0\KINSTALLERS_66_48952.exe
操作结果:已阻止

【11】2019-07-27 20:33:08,系统防护,软件安装拦截,infected.exe尝试安装软件,已阻止

操作进程:\\?\UNC\;VBoxMiniRdr\;F:\vboxsrv\Download\infected20190727\infected.exe
安装软件:搜狐影音
文件路径:C:\Users\Wzz\AppData\Local\Temp\RarSFX0\IFoxInstall-y-c206529687-s-nsi-tp-x.exe
操作结果:已阻止

【12】2019-07-27 20:33:01,系统防护,软件安装拦截,ipilajehlbfaj.exe尝试安装软件,已阻止

操作进程:C:\Users\Wzz\AppData\Local\Temp\RarSFX0\ipilajehlbfaj.exe
安装软件:迅雷影音
文件路径:C:\Users\Wzz\AppData\Local\Temp\XMPSetupLite-SIjhaqws56.exe
操作结果:已阻止

【13】2019-07-27 20:32:53,系统防护,软件安装拦截,ipilajehlbfaj.exe尝试安装软件,已阻止

操作进程:C:\Users\Wzz\AppData\Local\Temp\RarSFX0\ipilajehlbfaj.exe
安装软件:爱奇艺
文件路径:C:\Users\Wzz\AppData\Local\Temp\IQIYIsetup_senxing@kb010.exe
操作结果:已阻止

【14】2019-07-27 20:32:51,系统防护,系统加固,KeLe2014Beta3.6.2Promote0714_20090195130.exe触犯文件防护规则, 已阻止

操作进程:C:\Users\Wzz\AppData\Local\Temp\KeLe2014Beta3.6.2Promote0714_20090195130.exe
命令行:KeLe2014Beta3.6.2Promote0714_20090195130.exe
父进程:C:\Users\Wzz\AppData\Local\Temp\RarSFX0\ipilajehlbfaj.exe
防护项目:桌面快捷方式
目标文件:C:\Users\Wzz\Desktop\可乐视频社区.lnk
操作结果:已阻止

【15】2019-07-27 20:32:42,系统防护,软件安装拦截,ipilajehlbfaj.exe尝试安装软件,已阻止

操作进程:C:\Users\Wzz\AppData\Local\Temp\RarSFX0\ipilajehlbfaj.exe
安装软件:皇图
文件路径:C:\Users\Wzz\AppData\Local\Temp\ht_Y_azqd10_25.exe
操作结果:已阻止

【16】2019-07-27 20:32:36,系统防护,软件安装拦截,ipilajehlbfaj.exe尝试安装软件,已阻止

操作进程:C:\Users\Wzz\AppData\Local\Temp\RarSFX0\ipilajehlbfaj.exe
安装软件:37游戏
文件路径:C:\Users\Wzz\AppData\Local\Temp\yz_cqby.exe
操作结果:已阻止

【17】2019-07-27 20:32:34,系统防护,软件安装拦截,ipilajehlbfaj.exe尝试安装软件,已阻止

操作进程:C:\Users\Wzz\AppData\Local\Temp\RarSFX0\ipilajehlbfaj.exe
安装软件:淘淘搜
文件路径:C:\Users\Wzz\AppData\Local\Temp\TTK_8050010020140313_setup.exe
操作结果:已阻止

【18】2019-07-27 20:32:30,系统防护,软件安装拦截,kinst_1_581.exe尝试安装软件,已阻止

操作进程:C:\Users\Wzz\AppData\Local\Temp\kinst_1_581.exe
安装软件:金山毒霸
操作结果:已阻止

【19】2019-07-27 20:32:26,系统防护,软件安装拦截,BFVCenter-y4bd[[AB005]].exe尝试安装软件,已阻止

操作进程:C:\Users\Wzz\AppData\Local\Temp\BFVCenter-y4bd[[AB005]].exe
安装软件:360推广
操作结果:已阻止

【20】2019-07-27 20:32:24,系统防护,系统加固,1332280.exe触犯注册表防护规则, 已阻止

操作进程:C:\Users\Wzz\AppData\Local\Temp\1332280.exe
命令行:1332280.exe
父进程:C:\Users\Wzz\AppData\Local\Temp\RarSFX0\ipilajehlbfaj.exe
防护项目:启动项
目标注册表:HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run\RSEDown
操作类型:【写入】
数据内容:"C:\Users\Wzz\AppData\Local\Temp\1332280.exe" -auto
操作结果:已阻止

【21】2019-07-27 20:32:17,系统防护,软件安装拦截,1332280.exe尝试安装软件,已阻止

操作进程:C:\Users\Wzz\AppData\Local\Temp\1332280.exe
安装软件:瑞星安全浏览器
文件路径:C:\Users\Wzz\AppData\Local\Temp\RSEDown\rse.exe
操作结果:已阻止

【22】2019-07-27 20:32:05,系统防护,软件安装拦截,ipilajehlbfaj.exe尝试安装软件,已阻止

操作进程:C:\Users\Wzz\AppData\Local\Temp\RarSFX0\ipilajehlbfaj.exe
安装软件:瑞星杀毒
文件路径:C:\Users\Wzz\AppData\Local\Temp\install1021299.exe
操作结果:已阻止

【23】2019-07-27 20:31:54,系统防护,软件安装拦截,ipilajehlbfaj.exe尝试安装软件,已阻止

操作进程:C:\Users\Wzz\AppData\Local\Temp\RarSFX0\ipilajehlbfaj.exe
安装软件:多彩便签
文件路径:C:\Users\Wzz\AppData\Local\Temp\setup_31016.exe
操作结果:已阻止

【24】2019-07-27 20:31:38,系统防护,软件安装拦截,ipilajehlbfaj.exe尝试安装软件,已阻止

操作进程:C:\Users\Wzz\AppData\Local\Temp\RarSFX0\ipilajehlbfaj.exe
安装软件:QQ浏览器
文件路径:C:\Users\Wzz\AppData\Local\Temp\V8._85416_20150820204011.exe
操作结果:已阻止

【25】2019-07-27 20:31:31,系统防护,软件安装拦截,ipilajehlbfaj.exe尝试安装软件,已阻止

操作进程:C:\Users\Wzz\AppData\Local\Temp\RarSFX0\ipilajehlbfaj.exe
安装软件:百度影音
文件路径:C:\Users\Wzz\AppData\Local\Temp\BaiduPlayer5SetupSilent_359.exe
操作结果:已阻止

【26】2019-07-27 20:31:26,高级防护,自定义防护,ipilajehlbfaj.exe触犯自定义防护规则, 已允许

操作进程:C:\Users\Wzz\AppData\Local\Temp\RarSFX0\ipilajehlbfaj.exe
命令行:"C:\Users\Wzz\AppData\Local\Temp\RarSFX0\ipilajehlbfaj.exe"
防护项目:[阻止]temp路径启动可疑进程
操作目标:【执行】 C:\Windows\SysWOW64\cmd.exe
操作结果:已允许







a233
发表于 2019-7-27 20:48:49 | 显示全部楼层
www-tekeze 发表于 2019-7-27 19:50
监控杀就不存在拦截点靠后?只是可能性比主防小而已。。。又试了一遍,当智量主防拦截时,任务管理器里没 ...

我认为4楼里捆绑的金山毒霸和QQ浏览器(这两个安装包没被小a报毒)是infected.exe解压出来并安装的,并不是小a监控拦截点靠后



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
mr_bean_forever
发表于 2019-7-27 20:50:20 | 显示全部楼层
www-tekeze 发表于 2019-7-27 16:58
ESET,报4项,其中一个潜在。

ESET 就是强!
记录微笑
 楼主| 发表于 2019-7-27 20:52:34 | 显示全部楼层
www-tekeze 发表于 2019-7-27 20:48
退出智量、关闭火绒监控双击,动作多得一批,这推广简直是丧心病狂。。。还会释放一条驱动,但没有加载, ...

不丧心病狂RP云是不会轻易回滚的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-11-12 14:39 , Processed in 0.070879 second(s), 15 queries .

快速回复 返回顶部 返回列表