再来后门1x

kaba666

秋日之殇 发表于 2020-12-7 23:01
组合键会杀不出意外，但是卡巴的邮件回复：
Hello,

这玩意得综合个人人工分析，毕竟这个病毒全屏运行后无法操作了，和锁屏没区别了，只有组合键搞定它

swizzer

kaba666 发表于 2020-12-8 11:48
这玩意得综合个人人工分析，毕竟这个病毒全屏运行后无法操作了，和锁屏没区别了，只有组合键搞定它

那个挡屏不是可以关掉吗

雨天会下雨

360没报

kaba666

swizzer 发表于 2020-12-8 12:20
那个挡屏不是可以关掉吗

你把上端设置1秒，下端设置3或5秒，看看，我看你关？


12:59:54    创建文件     D:\测试文件\DangPing2-4.0.2013.824\ec.ini
12:59:54    创建文件     D:\测试文件\DangPing2-4.0.2013.824\HTMLtips.html
13:00:12    已创建进程    C:\Windows\SysWOW64\rundll32.exe
13:00:42    已创建进程    C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
13:00:43    已结束进程    C:\Windows\SysWOW64\rundll32.exe
13:00:55    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\6NLATN98\2984599[1].html
13:00:55    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\6NLATN98\3137207[1].html
13:00:55    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\TAN08B2V\3218095[1].html
13:00:57    创建文件     D:\测试文件\DangPing2-4.0.2013.824\config.ini
13:00:59    已创建进程    C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
13:01:11    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\LCDO0VU8\3137207[1].htm
13:01:11    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\LCDO0VU8\2984599[1].htm
13:01:11    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\GEGDNX24\3218095[1].htm
13:01:15    重命名文件    C:\Users\123\AppData\Local\Microsoft\Edge\User Data\CrashpadMetrics.pma
13:01:15    创建文件     C:\Users\123\AppData\Local\Microsoft\Edge\User Data\CrashpadMetrics-active.pma
13:01:15    已结束进程    C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
13:01:15    已结束进程    C:\Program Files (x86)\Microsoft\Edge\Application\msedge.exe
13:02:45    已创建进程    D:\测试文件\DangPing2-4.0.2013.824\DangPing2.exe
13:02:46    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\TAN08B2V\3137207[1].html
13:02:46    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\6NLATN98\3137207[1].htm
13:02:47    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\LCDO0VU8\2984599[1].html
13:02:47    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\6NLATN98\2984599[1].htm
13:02:47    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\LCDO0VU8\3218095[1].html
13:02:47    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\TAN08B2V\3218095[1].htm
13:02:54    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\TAN08B2V\2983239[1].html
13:02:54    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\GEGDNX24\2983239[1].htm
13:02:55    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\GEGDNX24\2982125[1].html
13:02:55    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\6NLATN98\2982125[1].htm
13:03:16    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\LCDO0VU8\U52VO0X0.htm
13:03:16    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\GEGDNX24\00zxz1[1].gif
13:03:16    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\6NLATN98\ys[1].css
13:03:16    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\TAN08B2V\ysck[1].js
13:03:16    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\LCDO0VU8\go1[1]
13:03:16    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\GEGDNX24\ys168[1].js
13:03:17    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\6NLATN98\jquery[1].js
13:03:17    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\TAN08B2V\f1[1].gif
13:03:17    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\LCDO0VU8\00zxy1[1].gif
13:03:17    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\GEGDNX24\wh[1].gif
13:03:17    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\6NLATN98\go[1].gif
13:03:17    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\TAN08B2V\url[1].gif
13:03:17    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\LCDO0VU8\000ht[1].htm
13:03:17    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\LCDO0VU8\refresh[1].gif
13:03:17    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\GEGDNX24\addml[1].png
13:03:17    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\6NLATN98\jt1[1].gif
13:03:17    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\TAN08B2V\ysbt[1].gif
13:03:17    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\GEGDNX24\jt3[1].gif
13:03:17    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\6NLATN98\mll1[1].gif
13:03:17    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\TAN08B2V\t01[1].gif
13:03:17    创建文件     C:\Users\123\AppData\Local\Microsoft\Windows\INetCache\IE\LCDO0VU8\edit1[1].cur
13:03:19    已结束进程    D:\测试文件\DangPing2-4.0.2013.824\DangPing2.exe
13:03:22    已结束进程    D:\测试文件\DangPing2-4.0.2013.824\DangPing2.exe

hsks

@秋日之殇 似乎没什么用实体机信任运行发现没什么明显的恶意行为（也不知道这个是怎么报的。。。）

这边下了一个新的360继续报毒

swizzer

kaba666 发表于 2020-12-8 13:14
你把上端设置1秒，下端设置3或5秒，看看，我看你关？

如果你非要这么做，那么正常软件都能被你玩成Malware，但是呢，这样有意义吗？

我用系统自带的regedit可以破坏系统，是不是也要杀掉regedit.exe呢？

界定有没有恶意行为可不是像你说的这样哦~

hsks

swizzer 发表于 2020-12-8 22:20
如果你非要这么做，那么正常软件都能被你玩成Malware，但是呢，这样有意义吗？

我用系统自带的r ...

所以这个软件有没有恶意行为（也许是个PUA）
360似乎把这系列的软件全拉黑了（有的甚至扫描报毒）

swizzer

hsks 发表于 2020-12-8 22:27
所以这个软件有没有恶意行为（也许是个PUA）
360似乎把这系列的软件全拉黑了（有的甚至扫描报毒）

从我这里行为监控来看，目前没发现有恶意行为。

不过具体细节得逆向但我并没有时间来做这事儿···

kaba666

swizzer 发表于 2020-12-8 22:20
如果你非要这么做，那么正常软件都能被你玩成Malware，但是呢，这样有意义吗？

我用系统自带的r ...

但是它释放些JS文件，我没提取，不知道结果！

卡卡-罗特

卡巴miss