本帖最后由 swizzer 于 2020-8-23 23:01 编辑
双击后无明显恶意行为,一直外联似乎是心跳包。
智量主防&内存防护均杀,微点无反应。
- 2020-08-23 22:36:41|D:\$aa\aaa\aaa.exe|MEMRAY:MalCode.F
智量主防在进行到此处时杀掉:
-
- 22:37:11:795, aaa.exe, 2436:0, 2436, FILE_open, C:\Windows\SysWOW64\cmd.exe, access:0x001000A1 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 , 0x00000000 [操作成功完成。 ],
-
- 22:37:36:788, aaa.exe, 2436:2844, 2436, NET_connect, 45.66.250.14:80, protocol:(TCP)0 , 0x00000000 [操作成功完成。 ],
- 22:37:37:165, aaa.exe, 2436:0, 2436, NET_http, 45.66.250.14/IE9CompatViewList.xml, protocol:(TCP)0 cmd:'GET' , 0x00000000 [操作成功完成。 ],
- 22:37:37:165, aaa.exe, 2436:0, 2436, NET_send, 45.66.250.14:80, protocol:(TCP)0 datalen:380 data:'00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ' , 0x00000000 [操作成功完成。 ],
- 22:37:37:545, aaa.exe, 2436:0, 2436, NET_recv, 45.66.250.14:80, protocol:(TCP)0 datalen:115 data:'00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 ' , 0x00000000 [操作成功完成。 ],
这里智量主防应该是跟扫描有所联动,所以恶意行为尚未展开(刚刚有展开的端倪)就被杀了。
微点主防的阈值估计比较高···完全无反应
|
楼主: Jirehlov1234
发表于 2020-8-23 16:45:48
