这个是什么？过所有杀毒、会联网下载、自我删除、检测自身被调试

luofeng3000

今天早上开机一个文件被杀软自动隔离了。（但是重新检测又说是安全的。）
C:\Users\Administrator\AppData\Roaming\d2f2ae9a5.exe
恢复后上传文件到virscan.org多引擎扫毒，
网页提示：在这之前2020年1月有人上传过，只有一个杀软报毒。
选择重新扫描，全部杀软通过没有问题。
看哈勃行为分析报告: 会联网下载、会创建文件并自我删除、会枚举进程、会检测自身被调试，会全盘查找电脑内pbk文件

请问这些行为是干什么，这到底是不是病毒？

附件为可疑文件，密码123

wjy19800315

数字过

yaoyunjia

卡巴：

New_Start.

@tdsskiller
腾讯有效数签？不是流氓就是.......白利用、无文件APT？

书山压力大

QQ浏览器的修复程序，带下载功能和读写内存修改数据。（QBFixerForGJ-Plugin.exe）

luofeng3000

书山压力大 发表于 2020-5-20 10:32
QQ浏览器的修复程序，带下载功能和读写内存修改数据。（QBFixerForGJ-Plugin.exe）

我电脑上从来没有安装过QQ浏览器。腾讯家的东西只有TIM，而且TIM已经半年多没有打开过了。

54ss

过扫描不意味着能过主防 自动隔离但是扫描miss 估计是触发主防了
白利用？

PINCER

https://www.virustotal.com/gui/f ... b003fb4ce/community
这是VT的，只有一个小厂家报
有趣的是，在Community一栏里，HybridAnalysis 在一年前给出的恶意分数100/100，标签里给出了#apt，但网址都是QQ浏览器的呀

luofeng3000

补充一些吧，主要是我觉得这个exe文件比较可疑，所以上传在线检查了。
详细的过程是这样的，一开始开机，杀软主动拦截并隔离的是另外一个文件：
C:\Windows\SysWOW64\srvcli.dll
随后我打开隔离菜单，发现了同时隔离的那个exe文件。
比较奇怪的是，隔离完成后我想上传检测，用everything是找不到d2f2ae9a5.exe文件的（后来是恢复取消隔离再上传），但是srvcli.dll文件却还是好好的在C:\Windows\SysWOW64\，而隔离区里目前还是有srvcli.dll这一条，这到底算是隔离了吗？
再次用杀软扫描srvcli.dll也还是安全的。

DLL劫持与白利用？这个要怎么防？

tdsskiller

luofeng3000 发表于 2020-5-20 11:19
补充一些吧，主要是我觉得这个exe文件比较可疑，所以上传在线检查了。
详细的过程是这样的，一开始开机， ...

白利用防不了，但是母体调用和黑dll得想办法干死