可疑文件一枚，需要打开steam

发呆的阿狸~

自解压文件，疑似游戏外{过}{滤}挂软件
hxxps://wwa.lanzoui.com/i8W41wt1mgf

密码 infected

aboringman

360：

1. 2021-11-23 15:04:49     恶意软件(Win64/Ransom.DogHousePower.HgIASgoA)MD5:cede1dec9d03b682f18cf5283ab53021已删除此文件，如果您发现误删，可从隔离区恢复此文件。        d:\360极速浏览器下载\test\asodik32948.exe

复制代码

蓝雨风暴

KIS报告威胁

anthonyqian

诺顿扫描miss，双击B杀drop的衍生物faccpublic.exe，然后防火墙弹窗，最后SONAR杀本体。

文件名: asodik32948.exe
威胁名称: SONAR.Dropper
____________________________

文件操作

文件: c:\Users\\downloads\ asodik32948.exe 威胁已删除
文件: c:\user\ FseRwes.exe 威胁已删除
目录: c:\ user 需要重新启动
____________________________

注册表操作

注册表更改: HKEY_USERS\S-1-5-21-239504248-728871594-4229630258-1001_Classes\Local Settings\MuiCache\6a\AAF68885->@%SystemRoot%\System32\ ndfapi.dll,-40001, 注册表配置单元: 64 位 威胁已删除
____________________________

网络操作

事件: 已触发自动防护 (执行者 c:\users\\downloads\asodik32948.exe, PID:11392) 未采取操作
____________________________

系统设置操作

事件: 浏览器进程启动 (执行者 c:\users\\downloads\asodik32948.exe, PID:11392) 未采取操作
(执行者 c:\users\\downloads\asodik32948.exe, PID:11392) 未采取操作
事件: PE 文件创建: c:\user\ fserwes.exe (执行者 c:\users\\downloads\asodik32948.exe, PID:11392) 未采取操作
事件: PE 文件创建: c:\user\ faccpublic.exe (执行者 c:\users\\downloads\asodik32948.exe, PID:11392) 未采取操作
事件: 进程启动: c:\user\ fserwes.exe, PID:20804 (执行者 c:\users\\downloads\asodik32948.exe, PID:11392) 未采取操作
事件: 进程启动: c:\users\\downloads\ asodik32948.exe, PID:11392 (执行者 c:\users\\downloads\asodik32948.exe, PID:11392) 未采取操作
事件: 进程启动 (执行者 c:\user\fserwes.exe, PID:20804) 未采取操作
事件: 进程启动: c:\user\ fserwes.exe, PID:20804 (执行者 c:\user\fserwes.exe, PID:20804) 未采取操作
____________________________

aboringman 发表于 2021-11-23 15:05
360：

哈哈哈，其实也可以理解，毕竟大多数人只是电脑的使用者啊，以我爸妈为例，安装一个金山毒霸或者其他安全软件就安心的看工作表格，新闻了。。安全软件担负的是大家的信任

金山毒霸查杀

发呆的阿狸~

跑微步云分析好像没看到有啥危险行为?还以为有后门..是个自解压软件.

心心相印

fs kill

11111111111445

avast kill

桑德尔

ESET

aoqiwsw

红伞kill