今日在纸飞机收到病毒

allance

由于纸飞机是开放的，不需要经过添加好友，可以直接发送文件
今日就收到一封什么报表，打开这exe程序后，过了几秒就报毒了，之后封杀，重启后又再全盘扫描，怕再生寄生虫
各位如有兴趣研究一下

xjiqn

智量kill

正在缓冲

Avast
FileRepMalware

allance

xjiqn 发表于 2021-5-3 16:26
卡巴扫描miss

嗯，虽然miss了，但是双击运行几秒后也是会自动杀，杀完提示重启电脑后，又再自动全盘扫描

allance

正在缓冲 发表于 2021-5-3 16:27
Avast、Microsoft Defender miss

等一下开虚拟机运行试试

看看这病毒主要是监控什么，真的服了卡巴没有直接报，现在就想重新安装系统

sichuanwenxuan

WD不报。双击不报。

隔山打空气

allance 发表于 2021-5-3 16:28
嗯，虽然miss了，但是双击运行几秒后也是会自动杀，杀完提示重启电脑后，又再自动全盘扫描

实体机，虚拟化技术增强已经启动 各扫描配置为中等（最优）
KSOS HIPS默认设定高限制 扫描Miss PDM不报毒
记录+拦截动作如下
1）读取 结果说明: 已允许
对象路径: hkey_users\S-1-5-21-4147168240-1447566447-2048839674-1001\SOFTWARE\Microsoft\Internet Explorer\Download
对象名称: FeatureEnableTokenBindingOverride
原因: 个人数据
2）创建 结果说明: 已阻止
对象路径: hkey_users\S-1-5-21-4147168240-1447566447-2048839674-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\
对象名称: *
原因: 操作系统
3）创建 结果说明: 已阻止
对象路径: hkey_users\S-1-5-21-4147168240-1447566447-2048839674-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
对象名称: ProxyServer
原因: 操作系统
然后就没动静了

post88

FS KILL HEUR/APC

wwwab

卡巴opentip没跑出恶意……

allance

他X的，这病毒真不简单啊

正在缓冲

allance 发表于 2021-5-3 16:31
看看这病毒主要是监控什么，真的服了卡巴没有直接报，现在就想重新安装系统

https://s.threatbook.cn/report/f ... p1_enx64_office2013
我并不会分析所以只能拿微步的结果……
经过封杀，应该可以了吧……如果不放心可以试试Windows恶意软件删除工具扫描一下

wwwab

正在缓冲 发表于 2021-5-3 16:46
https://s.threatbook.cn/report/file/a950f754190c717132013806ee77e54a26cd9c952342b6e955d532ec581fb8 ...

那个工具也得wd报毒才kill吧

fdsax

智量双击几秒后主防秒杀

dongwenqi

allance 发表于 2021-5-3 16:45
他X的，这病毒真不简单啊

卡巴斯基系统监控报法

allance

sichuanwenxuan 发表于 2021-5-3 16:32
WD不报。双击不报。

系统自带的WD就这么弱吗，双击后也不报毒？

allance

wwwab 发表于 2021-5-3 16:44
卡巴opentip没跑出恶意……

这是什么意思？虽然扫描exe不报毒，但是双击过了几秒后肯定报毒

allance

正在缓冲 发表于 2021-5-3 16:46
https://s.threatbook.cn/report/file/a950f754190c717132013806ee77e54a26cd9c952342b6e955d532ec581fb8 ...

好的，谢谢你，我正在全盘扫描，太恐怖了

wwwab

病毒在运行后下载了两张图片，分别为：kb.jpg和TY.png

其中：kb.jpg貌似没有发现什么问题，vt全绿；而那个TY.png可能是个exe，vt只有卡巴一家报毒，报毒分类名为heur:Backdoor.Win32.Farfli.gen，疑似是个后门程序