恶意软件变速齿轮

JHGLF

来源贴吧：https://tieba.baidu.com/p/8996803803
软件安装后运行里面的GearNew.exe，会连接服务器然后下载一个hidirs.sys的恶意驱动程序到C盘的驱动程序目录上



附件太大用蓝奏云上传
恶意软件本体
恶意软件远程下载的驱动程序
解压密码：infected

Fadouse

DI 下载杀

lsop1349987

Avast——kill2x

lovehhsw

驱动
卡巴杀：

事件: 检测到恶意对象
用户: WORKGROUP\IZYKQTB0JL6KIGZ$
用户类型: 发起者
组件: 文件威胁防护
结果说明: 检测到
类型: 木马
名称: UDS:Rootkit.Win64.Agent.bdr
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: hidirs.sys
对象路径: C:\Users\Administrator\Downloads\hidirs
对象的 SHA256: 9F416279FDEEC41B078B49FDC5C5EDA239566008302205BA95C4D308D15F4DE1
对象的 MD5: 46BD016C3177500D30ACDD60C219BC0A
原因: 云保护

360扫描miss：
360木马查杀扫描日志
开始时间: 2024-11-16 14:26:40
扫描用时: 00:00:06
扫描类型: 自定义扫描
扫描引擎:360云查杀引擎（本地木马库）  360启发式引擎  QEX脚本查杀引擎
             QVM Ⅱ人工智能引擎 鲲鹏引擎  
扫描文件数: 1
系统关键位置文件: 0
系统内存运行模块: 0
压缩包文件: 0
安全的文件数: 1
发现安全威胁: 0
已处理安全威胁: 0

扫描选项
扫描后自动关机: 否
扫描模式: 节能模式
管理员：是

扫描内容
C:\Users\Administrator\Downloads\hidirs\hidirs.sys
白名单设置
扫描结果
未发现安全威胁



主程序：

卡巴扫描miss




360kill：

御坂14857号

scottxzt

C:\Users\Desktop\(补)变速齿轮_Setup(1)\biansuchilun.com\GearNew.exe - Win32/FlyStudio.Packed.AN 潜在的不受欢迎应用程序 的变量 - 已通过删除清除 [1]

OrangeCell

贴吧评论没有人说有毒吗

BEST扫描miss



双击ATC拦截。

驭龙

御坂14857号 发表于 2024-11-16 14:19

卡巴免费版都这么强的吗？回滚好牛，还能卸载程序！

玛姆库特

实机，双击GearNew.exe，智量秒杀

Loyisa

MD把自解压压缩包删了