新鲜热辣样本一枚！

显示全部楼层 · 发表于 2020-2-7 18:21:02

本帖最后由 2512975065 于 2020-2-7 18:53 编辑

最近这6个月发现阿里云香港段经常有人尝试/穷举mstsc
然后我就特意将密码设为空，结果29号，被扫
然后电脑多了这些东西

通过FRP映射到阿里公网
然后
样本：https://cowtransfer.com/s/d8528bce137b4c
双击可带劲啦:
xmrig-notls.exe
没人双击吗

双击释放30-50个exe哦

显示全部楼层 · 发表于 2020-2-7 18:21:16

本帖最后由 QVM360 于 2020-2-7 18:36 编辑

ESET拦截Payload报感染型病毒PS:修复2个
Desktop_Locker.exe - Win32/Neshta.A 病毒，修复后的sha256：9A62BF26BCE3E99A0901BF09D54531B3A5BA2805FFCC72F9EF26B15CC381B260

xmrig-notls.exe - Win32/Neshta.A 病毒，修复后的sha256：124F0ECCCCB276881FB914E8873BE9914D8FFA5CCBE27601EC3208960C9213E0
双击修复后的Desktop_Locker.exe，桌面被锁

显示全部楼层 · 发表于 2020-2-7 18:22:02

本帖最后由 BE_HC 于 2020-2-7 18:26 编辑

挖矿。。。

显示全部楼层 · 发表于 2020-2-7 18:26:31

IKARUS

显示全部楼层 · 发表于 2020-2-7 18:26:38

本帖最后由 QVM360 于 2020-2-7 18:31 编辑

火绒修复2个
xmrig-notls.exe, 病毒名：Virus/Neshta.c, 处理结果：已处理，清除恶意代码，修复后的sha256：9A62BF26BCE3E99A0901BF09D54531B3A5BA2805FFCC72F9EF26B15CC381B260（和eset一模一样）
Desktop_Locker.exe, 病毒名：Virus/Neshta.c，处理结果：已处理，清除恶意代码，修复后的sha256：124F0ECCCCB276881FB914E8873BE9914D8FFA5CCBE27601EC3208960C9213E0（和eset一模一样）

显示全部楼层 · 发表于 2020-2-7 18:30:08

卡巴
无法访问该网页

对象网址:

https://static.cowtransfer.com/a ... p;attname=hahaha.7z
包含可被入侵者用来损害您的计算机或个人数据的合法软件

not-a-virus:RiskTool.BAT.BitCoinMiner.ab

消息生成时间: 2020/2/7 18:29:41

显示全部楼层 · 发表于 2020-2-7 18:35:06

BE_HC 发表于 2020-2-7 18:22
挖矿。。。

Neshta不是感染型吗？

显示全部楼层 · 发表于 2020-2-7 18:57:47

QVM360 发表于 2020-2-7 18:35
Neshta不是感染型吗？

你可以运行试试，如果不是挖矿没必要扔到别人服务器上（看看json），如果只是想单纯破坏的话。。。。。

显示全部楼层 · 发表于 2020-2-7 18:57:55

Avast隔离1X 修复1X

显示全部楼层 · 发表于 2020-2-7 18:59:17

扫描时间：[2020-02-07 18:58:24]
扫描用时：[00:00:07]
扫描类型：自定义查杀
扫描文件总数：10
扫描速度：1文件/秒
发现威胁：2个
清除威胁：2个
=============================================
[2020-02-07 18:58:43]
威胁：c:\users\samsung\desktop\hahaha\xmrigp\desktop_locker.exe
类型：win32.neshta.nl.30720
处理方式：修复

[2020-02-07 18:58:43]
威胁：c:\users\samsung\desktop\hahaha\xmrigp\xmrig-notls.exe
类型：win32.neshta.nl.30720
处理方式：修复

[病毒样本] 新鲜热辣样本一枚！

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源