收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 可疑patch
123下一页
返回列表 发新帖
楼主: henry217
 收起左侧

[可疑文件] 可疑patch

[复制链接]
BitterLotus
发表于 2020-10-24 12:26:36 | 显示全部楼层
ESET Miss
回复

举报

川建国代理人
发表于 2020-10-24 12:37:06 | 显示全部楼层
智量V2.67高启发Miss

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

henry217
 楼主| 发表于 2020-10-24 12:38:59 | 显示全部楼层
川建国代理人 发表于 2020-10-24 12:37
智量V2.67高启发Miss

所以说这玩意究竟是有毒吗?看起来行径挺多
回复

举报

秋日之殇
发表于 2020-10-24 12:43:19 | 显示全部楼层
henry217 发表于 2020-10-24 12:38
所以说这玩意究竟是有毒吗?看起来行径挺多

应该无毒,报的都是是黑客工具。卡巴也是提示可能被利用的合法软件。
回复

举报

川建国代理人
发表于 2020-10-24 12:46:54 | 显示全部楼层
本帖最后由 川建国代理人 于 2020-10-24 12:50 编辑
henry217 发表于 2020-10-24 12:38
所以说这玩意究竟是有毒吗?看起来行径挺多

这公司签名就离谱
  1. CompanyName:知彼而知己
复制代码
https://www.virustotal.com/gui/file/4159ba56c793d9a4ea76a1f364534e9af97ba28e750104697c10d6d97f6c2cfa/detection
一般杀软早就拉黑了
  1. MD5
  2. 7cd8b711be93ff8858b7dc753c4065ca
  3. SHA1
  4. 358ead5466fd6f67545cd77d87d541235449558f
  5. SHA256
  6. 4159ba56c793d9a4ea76a1f364534e9af97ba28e750104697c10d6d97f6c2cfa
  7. SHA512
  8. 99a03912de71e832de24f16f225c38325ad4d5358f31286fe9e27e8face8590aac2ac29abe3d49833154e02ef4612e6dcf6444d7e397baeae3d43d9e6ff6b897
  9. SSDeep
  10. 98304:R8sjkqfcfKquIxKbcC+Ad44X8AFp5IbW7zLulUqp/6X0A2UU:3jgfXuIQb7+5A8AFp6bMKUy/zUU
复制代码
行为多的像个勒索
不过有一点值得关注,那就是这个样本操作了本地防火墙的策略和设置
对子文件加里的10个文件进行修改(篡改更贴切)
  1. 1
  2. netsh  advfirewall firewall add rule name="heu-kms-SppExtComObjHook" dir=in action=allow profile=any program="C:\Windows\system32\SppExtComObjHook.dll"
  3. 2
  4. C:\Windows\system32\cmd.exe /c  set "Path=%SystemRoot%;%SystemRoot%\system32;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\;" & netsh advfirewall firewall add rule name="HEU_KMS_Activator" dir=in action=allow profile=any program="c:\U
  5. 3
  6. netsh  advfirewall firewall delete rule name="HEU_KMS_Renewal"
  7. 4
  8. C:\Windows\system32\cmd.exe /c  set "Path=%SystemRoot%;%SystemRoot%\system32;%SystemRoot%\System32\Wbem;%SYSTEMROOT%\System32\WindowsPowerShell\v1.0\;" & netsh advfirewall firewall add rule name="heu-kms-SppExtComObjHook" dir=in action=allow profile=any progra
  9. 5
  10. netsh  advfirewall firewall add rule name="HEU_KMS_Activator" dir=in action=allow profile=any program="c:\Users\Administrator\AppData\Local\Temp\heu_kms_activator_v19.5.1.exe"
  11. 6
复制代码

并创建了30余个除主进程外的隐藏进程,但是其没有与网络相关的操作,可以排除是远控


评分

参与人数 1人气 +3 收起 理由
QVM360 + 3 以后样本分析就靠你了

查看全部评分

回复

举报

川建国代理人
发表于 2020-10-24 12:49:26 | 显示全部楼层
秋日之殇 发表于 2020-10-24 12:43
应该无毒,报的都是是黑客工具。卡巴也是提示可能被利用的合法软件。

一切皆有可能,无法排除其不是一个恶意样本
回复

举报

henry217
 楼主| 发表于 2020-10-24 12:51:05 | 显示全部楼层
川建国代理人 发表于 2020-10-24 12:49
一切皆有可能,无法排除其不是一个恶意样本

所以说2019用不成了
回复

举报

川建国代理人
发表于 2020-10-24 12:52:20 | 显示全部楼层
henry217 发表于 2020-10-24 12:51
所以说2019用不成了

激活Office?要么买正版,要么找个靠谱的的激活工具(误)
回复

举报

秋日之殇
发表于 2020-10-24 12:56:59 | 显示全部楼层
henry217 发表于 2020-10-24 12:51
所以说2019用不成了

试试这个:https://bbs.kafan.cn/thread-2187168-1-1.html

评分

参与人数 3人气 +3 收起 理由
swizzer + 1 --------
川建国代理人 + 1 --------
henry217 + 1 感谢解答: )

查看全部评分

回复

举报

munsimli
发表于 2020-10-25 03:47:41 | 显示全部楼层
fsp時時監控與右鍵掃描均不殺,MBAM右鍵掃描殺
回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-3 08:16 , Processed in 0.096511 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表