可疑文件

显示全部楼层 · 发表于 2023-7-17 14:48:11

本帖最后由 hhhq316 于 2023-7-17 15:10 编辑

社保群收到的可疑文件，大意了进行双击，然后管理员直接把发文件的人踢了，估计真是病毒，电脑变得卡卡的，虚拟机win7直接蓝屏，诺顿蜘蛛 EMSI扫描无反应，而且传不了VT，总是提示文件不可读
https://cowtransfer.com/s/756147b74a2c40 口令 q9uwbo

显示全部楼层 · 发表于 2023-7-17 14:57:51

本帖最后由 anxiety520 于 2023-7-17 15:05 编辑

KIS 扫描 SW IPS 都没反应

tip上没跑出来结果

显示全部楼层 · 发表于 2023-7-17 15:34:08

本帖最后由真小读者于 2023-7-17 15:35 编辑

瑞星

显示全部楼层 · 发表于 2023-7-17 15:51:36

本帖最后由 UNknownOoo 于 2023-7-17 15:53 编辑

火绒
扫描：MISS

双击：Miss

防护项目：系统默认程序
操作类型：修改
数据内容：regfile
目标注册表：HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.key\
操作结果：已允许

进程ID：4896
操作进程：C:\Users\Administrator\Desktop\1.《关于市医保最新网厅办理服务平台操作手册》.exe
操作进程命令行："C:\Users\Administrator\Desktop\1.《关于市医保最新网厅办理服务平台操作手册》.exe"

显示全部楼层 · 发表于 2023-7-17 16:13:17

BEST
Gen:Illusion.Cervo.3.3010100

显示全部楼层 · 发表于 2023-7-17 16:25:42

本帖最后由 bananas12138 于 2023-7-17 16:31 编辑

卡巴、毒霸、火绒、腾管、360扫描miss
微步云报安全，已上报火绒测试

显示全部楼层 · 发表于 2023-7-17 17:14:51

微步云沙箱分析失败，已反馈。
安恒安全沙箱报中危 https://sandbox.dbappsecurity.co ... 2-b865-37c517295a2c。
VT 7/71 (全是机学) https://www.virustotal.com/gui/f ... afc0c1d43/detection

显示全部楼层 · 发表于 2023-7-17 17:47:07

呼啸山庄发表于 2023-7-17 17:14
微步云沙箱分析失败，已反馈。
安恒安全沙箱报中危 https://sandbox.dbappsecurity.com.cn/report/250be6c ...

感觉像是数据窃取的木马

显示全部楼层 · 发表于 2023-7-17 20:20:06

360

显示全部楼层 · 发表于 2023-7-17 20:20:08

[可疑文件] 可疑文件

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源