易语言程序，过数字

QVM360

文件见附件
360 miss，火绒miss，智量Heur杀！

FD丶纸鸢

卡巴扫描miss
双击miss（已上报
双击之后没反应 进程列表里也没有 也不知道这玩意干了啥 一会丢哈勃看看（
哈勃提示轻微风险

1. 行为描述：        调整进程token权限
   
2. 详情信息：        
   
3. SE_DEBUG_PRIVILEGE
   
4. 行为描述：        创建事件对象
   
5. 详情信息：        
   
6. EventName = DINPUTWINMM
   
7. 行为描述：        打开事件
   
8. 详情信息：        
   
9. HookSwitchHookEnabledEvent
   
10. 行为描述：        打开互斥体
    
11. 详情信息：        
    
12. ShimCacheMutex
    
13. 行为描述：        创建互斥体
    
14. 详情信息：        
    
15. CTF.LBES.MutexDefaultS-*
    
16. CTF.Compart.MutexDefaultS-*
    
17. CTF.Asm.MutexDefaultS-*
    
18. CTF.Layouts.MutexDefaultS-*
    
19. CTF.TMD.MutexDefaultS-*
    
20. CTF.TimListCache.FMPDefaultS-*MUTEX.DefaultS-*

复制代码

微步

1. 可疑行为（1）全部收起
   
2. 系统敏感操作
   
3. 枚举进程或线程
   
4. Time & API        Arguments        Status        Return
   
5. 2019-08-07 23:30:21
   
6. CreateToolhelp32Snapshot
   
7. flags :2
   
8. process_identifier :0
   
9. 1        228
   
10. 2019-08-07 23:30:21
    
11. CreateToolhelp32Snapshot
    
12. flags :2
    
13. process_identifier :0
    
14. 1        228
    
15. 2019-08-07 23:30:21
    
16. CreateToolhelp32Snapshot
    
17. flags :2
    
18. process_identifier :0
    
19. 1        228
    
20. 低危行为（2）全部收起
    
21. 静态文件特征
    
22. 在文件内存中发现IP地址或url
    
23. url
    
24. http://www.eyuyan.com
    
25. 一般行为
    
26. 搜索并加载模块资源
    
27. Time & API        Arguments        Status        Return
    
28. 2019-08-07 23:30:21
    
29. LoadResource
    
30. module_handle :0x00400000
    
31. resource_handle :0x004c0b78
    
32. pointer :0x004c54f0
    
33. 1        5002480
    

复制代码

感觉没有什么吧。。。大概（（

N卡网速快

趋势

FD丶纸鸢

File Analysis分析日志

莒县小哥

WD

Trojan:Win32/Tiggre!plock

evans168

SecureAPlus

www-tekeze

双击，进程闪一下自动退出，火绒没任何弹窗、智量主防没反应。。。已当误报上传智量！

补充：智量已解除报毒！

ELOHIM

FD丶纸鸢 发表于 2019-8-24 09:34

大哥，1000多行，你打包放附件不行吗？非常感谢你。

ELOHIM

莒县小哥 发表于 2019-8-24 09:43
WD

Trojan:Win32/Tiggre!plock

Trojan:Win32/Tiggre!plock


我的也有反应了。好激动。。

c/mm

Dr.web 双击无反应已上报看看