一个隐藏很深的病毒

显示全部楼层 · 发表于 2020-10-25 07:52:18

红伞双击直接杀了

显示全部楼层 · 发表于 2020-10-25 08:43:27

管家miss
智量高启发kill

显示全部楼层 · 发表于 2020-10-25 10:55:31

本帖最后由 QVM360 于 2020-10-25 11:00 编辑

经人工鉴定该文件为安全文件
看上去像是WIN10优化工具。

修改host文件以阻止系统自动升级

复制代码

调用PING.EXE以延迟执行行为

写入host文件

复制代码

禁用Windows安全工具

复制代码

程序启动了自己
调用CMD.EXE执行命令行

C:\Windows\system32\cmd.exe /c regedit /s "C:\Users\admin\AppData\Local\Temp\W10_YH.reg"

复制代码

在Program Files目录下移动文件

在Windows目录下移除文件

修改IE黑名单列表

显示全部楼层 · 发表于 2020-10-25 11:15:46

McAfee

显示全部楼层 · 发表于 2020-10-25 11:50:26

wd扫描不报。

显示全部楼层 · 发表于 2020-10-25 23:08:07

swizzer 发表于 2020-10-24 19:26
virscan不值得用了。

https://www.virustotal.com/gui/f ... 859325ec7/detection

高级防护怎么来的？

显示全部楼层 · 发表于 2020-10-25 23:24:17

1562859748 发表于 2020-10-25 23:08
高级防护怎么来的？

没看到那个reg衍生物？自己双击就好了

事实上智量会在reg生成前干掉样本。不过可能今天的病毒库不会杀（官方可能调整了模型规避误报）

显示全部楼层 · 发表于 2020-10-25 23:57:41

MKLI 发表于 2020-10-24 20:45
右键扫描无毒，但是打开就拦截了

为什么你是繁体

显示全部楼层 · 发表于 2020-10-26 00:55:53

YSL 发表于 2020-10-25 23:57
为什么你是繁体

Avast可以设定语言的啊

显示全部楼层 · 发表于 2020-10-27 06:28:21

QVM360 发表于 2020-10-25 10:55
经人工鉴定该文件为安全文件
看上去像是WIN10优化工具。

不像。这种优化工具，倒像个流氓软件

[病毒样本] 一个隐藏很深的病毒