可疑patch

QVM360

川建国代{过}{滤}理人 发表于 2020-10-24 12:46
这公司签名就离谱
https://www.virustotal.com/gui/file/4159ba56c793d9a4ea76a1f364534e9af97ba2 ...

写防火墙配置可能是要保证激活时不被防火墙拦截，我现在分析下。。
@swizzer 来看下

川建国代理人

QVM360 发表于 2020-10-25 08:19
写防火墙配置可能是要保证激活时不被防火墙拦截，我现在分析下。。
@swizzer 来看下

这款可能是联网断网都可以，主要是网卡驱动已被卸载了

QVM360

川建国代{过}{滤}理人 发表于 2020-10-25 08:25
没错，KMS是在线联网激活，防火墙对这一块很敏感，只能通过改变防火墙启发标准以达到联网的目的

这玩意根本没有联网，可能是要让衍生物联网

QVM360

行为活动

恶意行为	可疑行为	其他行为
无	启动拓展名不正常的程序 cmd.exe (PID: 2596) cmd.exe (PID: 2256) cmd.exe (PID: 2972) cmd.exe (PID: 1544) cmd.exe (PID: 3712) cmd.exe (PID: 2364) cmd.exe (PID: 3836) cmd.exe (PID: 924) cmd.exe (PID: 3464) cmd.exe (PID: 3748) cmd.exe (PID: 2708) cmd.exe (PID: 3420) cmd.exe (PID: 3648) cmd.exe (PID: 3668) cmd.exe (PID: 3700) cmd.exe (PID: 532) cmd.exe (PID: 4032) cmd.exe (PID: 832) 在Windows目录下创建文件 cmd.exe (PID: 2256) cmd.exe (PID: 1296) cmd.exe (PID: 2112) sppsvc.exe (PID: 3756) cmd.exe (PID: 2312) cmd.exe (PID: 3152) sppsvc.exe (PID: 3584) cmd.exe (PID: 1544) cmd.exe (PID: 1532) cmd.exe (PID: 464) kms.exe (PID: 492) cmd.exe (PID: 2364) cmd.exe (PID: 2484) cmd.exe (PID: 3420) cmd.exe (PID: 924) cmd.exe (PID: 3700) cmd.exe (PID: 3592) cmd.exe (PID: 680) cmd.exe (PID: 832) 7Z.EXE (PID: 780) cmd.exe (PID: 4044) cmd.exe (PID: 560) HEU_KMS_Activator_v19.5.1.exe (PID: 3328) 7Z.EXE (PID: 2084) 使用WMIC查看系统信息 cmd.exe (PID: 3336) cmd.exe (PID: 1296) cmd.exe (PID: 2776) cmd.exe (PID: 3592) cmd.exe (PID: 4032) cmd.exe (PID: 832) 在Program Files目录下创建文件 OSPPSVC.EXE (PID: 2060) OSPPSVC.EXE (PID: 3372) 在Windows目录下移除文件 sppsvc.exe (PID: 3756) sppsvc.exe (PID: 3584) kms.exe (PID: 492) 执行脚本 cmd.exe (PID: 2112) cmd.exe (PID: 3152) cmd.exe (PID: 3104) cmd.exe (PID: 1736) cmd.exe (PID: 2620) cmd.exe (PID: 3220) cmd.exe (PID: 3416) cmd.exe (PID: 1940) cmd.exe (PID: 1288) cmd.exe (PID: 252) cmd.exe (PID: 2900) cmd.exe (PID: 3976) cmd.exe (PID: 3440) cmd.exe (PID: 2088) cmd.exe (PID: 2052) cmd.exe (PID: 2104) cmd.exe (PID: 3544) cmd.exe (PID: 1540) cmd.exe (PID: 1844) cmd.exe (PID: 680) cmd.exe (PID: 3856) 使用NETSH操作网络配置 cmd.exe (PID: 1696) cmd.exe (PID: 1968) cmd.exe (PID: 3020) cmd.exe (PID: 716) cmd.exe (PID: 3972) cmd.exe (PID: 184) cmd.exe (PID: 1204) cmd.exe (PID: 2704) cmd.exe (PID: 3028) cmd.exe (PID: 3872) cmd.exe (PID: 1580) cmd.exe (PID: 3684) 使用ICACLS修改访问控制列表 cmd.exe (PID: 3996) cmd.exe (PID: 864) cmd.exe (PID: 3872) cmd.exe (PID: 1708) 释放或重新写入可执行内容 kms.exe (PID: 492) 7Z.EXE (PID: 780) HEU_KMS_Activator_v19.5.1.exe (PID: 3328) 读取Internet缓存数据 HEU_KMS_Activator_v19.5.1.exe (PID: 3328) 读取iexplore数据 HEU_KMS_Activator_v19.5.1.exe (PID: 3328) 调用cmd执行命令 HEU_KMS_Activator_v19.5.1.exe (PID: 3328) kms.exe (PID: 492)	释放的内容可能含有比特币钱包地址 sppsvc.exe (PID: 3584)

该文件为kms激活文件，激活时发现有恶意行为（调用wscript.exe; cscript.exe; net.exe; net1.exe，但是均为正常kms的行为。没有发现联网活动。分析报告：
https://app.any.run/tasks/5043f260-74a6-4887-a7eb-6f97d30e469d
https://analyze.intezer.com/anal ... e-ba6b-9bc7a4bb98e1
经过人工复检，鉴定该文件为安全文件，您可放心使用。

川建国代理人

QVM360 发表于 2020-10-25 08:26
这玩意根本没有联网，可能是要让衍生物联网

我试了下，断网环境也可以激活
路径是