收到的病毒邮件附件卡巴没反应

显示全部楼层 · 发表于 2021-12-4 17:21:05

本帖最后由 pmet12345 于 2021-12-4 17:55 编辑

传输链接：https://cowtransfer.com/s/4312802f389047 或打开【奶牛快传】cowtransfer.com 使用传输口令：tk2s48 提取；
文件上传到奶牛了
压缩包密码是520pojie
没找到哪里上传样本给卡巴
这个已知运行后 ,释放资源的2个附件到temp目录,,会添加个计划任务,
代码中有虚拟机相关进程名字检测
不知道有什么严重的潜在危险
已知会群发邮件, 连小众的domino邮件系统都能获取用户邮箱列表群发, 代码解析超过自己能力了 ,烦请大佬有空分析一下
资源101 估计为中毒者机上随机某份word或者pdf文件, 102为固定1个黑客基础知识介绍的pdf
程序无壳, 描述信息为微软的自释放程序

显示全部楼层 · 发表于 2021-12-4 17:35:47

密码呢？

显示全部楼层 · 发表于 2021-12-4 17:53:45

秋日之殇发表于 2021-12-4 17:35
密码呢？

sry.密码是52pojie

显示全部楼层 · 发表于 2021-12-4 18:19:36

操作步骤.exe启动后会连接C2地址:23.215.176.152，应该是一个后门程序。

捕获2.PNG

显示全部楼层 · 发表于 2021-12-4 18:32:51

00006666 发表于 2021-12-4 18:19
操作步骤.exe启动后会连接C2地址:23.215.176.152，应该是一个后门程序。

他连哪里其实并不那么重要, 重要的是我想知道他做了什么, 除了建立计划任务,拷贝自身到temp之外还有做什么呢? 是否删掉temp目录下的nvcplui.exe 就算清除了呢?

显示全部楼层 · 发表于 2021-12-4 20:15:07

已上报卡巴斯基

显示全部楼层 · 发表于 2021-12-4 21:11:42

不要紧文件放在那里不动
卡巴入库之后你再扫描下可以自动回滚

显示全部楼层 · 发表于 2021-12-4 21:31:16

KSOS21.3.10.391.0.29.0，解压后，直接删除
屏幕截图 2021-12-04 213031.png

显示全部楼层 · 发表于 2021-12-5 00:39:06

fscs520 发表于 2021-12-4 21:31
KSOS21.3.10.391.0.29.0，解压后，直接删除

解压出来没提示, 单独扫描没反应
捕获1.JPG

显示全部楼层 · 发表于 2021-12-5 00:42:56

rising kill

[问题求助] 收到的病毒邮件附件 卡巴没反应

[问题求助] 收到的病毒邮件附件卡巴没反应