加驱的破坏性病毒

显示全部楼层 · 发表于 2020-3-14 16:52:41

本帖最后由 zay365 于 2020-3-14 17:05 编辑

不知道那些驱动是用来做什么的，干掉杀软？
xCVc74j.sys貌似不是驱动，是exe，可能是调用powershell挖矿的ok.jpg
https://www.lanzous.com/ia8zrte

显示全部楼层 · 发表于 2020-3-14 16:54:15

也逛吾爱看到了啊

显示全部楼层 · 发表于 2020-3-14 16:56:27

卡巴

14.03.2020 16.55.22;检测到的对象( 文件 );Z:\天下太平\天下太平.exe;WinRAR 压缩文件管理器;Z:\天下太平\天下太平.exe;03/14/2020 16:55:22;Backdoor.Win32.Androm.twkq

14.03.2020 16.55.22;检测到的对象( 文件 );Z:\天下太平\6IXhmiC.sys;Windows Explorer;Z:\天下太平\6IXhmiC.sys;03/14/2020 16:55:22;Packed.Win32.Blackv.apu

14.03.2020 16.55.22;检测到的对象( 文件 );Z:\天下太平\mydri.sys;Windows Explorer;Z:\天下太平\mydri.sys;03/14/2020 16:55:22;Rootkit.Win32.HideProc.bj

14.03.2020 16.55.27;检测到的对象( 文件 );Z:\天下太平\xCVc74j.sys;Windows Explorer;Z:\天下太平\xCVc74j.sys;03/14/2020 16:55:27;VHO:Trojan-Dropper.Win32.Dapato.pzsz

显示全部楼层 · 发表于 2020-3-14 16:58:01

Avast

显示全部楼层 · 发表于 2020-3-14 16:58:41

BE_HC 发表于 2020-3-14 16:54
也逛吾爱看到了啊

居然跟你的撞了，我之前从吾爱搬运了一大堆样本都没人和我重的
那几个驱动的用途到底是什么我还没分析出来

显示全部楼层 · 发表于 2020-3-14 17:00:21

本帖最后由 BE_HC 于 2020-3-14 17:04 编辑

zay365 发表于 2020-3-14 16:58
居然跟你的撞了，我之前从吾爱搬运了一大堆样本都没人和我重的
那几个驱动的用途到底是什么我还没分析出 ...

我看盒子报告，看驱动只是创建后删除。。。
虽说还看到结束杀软但是是用taskkill。。。

显示全部楼层 · 发表于 2020-3-14 17:07:16

显示全部楼层 · 发表于 2020-3-14 17:07:25

EMSISOFT killed all
难得看到A引擎报流氓软件

显示全部楼层 · 发表于 2020-3-14 17:40:30

ESET剩下一个天下太平.exe

显示全部楼层 · 发表于 2020-3-14 17:51:55

QVM360 发表于 2020-3-14 17:40
ESET剩下一个天下太平.exe

ESET中文版不杀易语言真的麻烦

估计是因为英文版能检出，所有易语言样本上报之后看起来都没分析
只有多次上报+注明中文版不杀才会分析入库（比如上次那个小猪佩奇）

[病毒样本] 加驱的破坏性病毒

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源