单位科室姐传来的卡机病毒文档

显示全部楼层 · 发表于 2025-2-22 10:46:53

本帖最后由 truetime 于 2025-2-25 15:42 编辑

最近着急给上级报项目，科室大哥在单位加班；我昨天晚上小舅子叫着吃汉系烧烤，刚坐下吃了几串，大哥就不停打电话，连着打了4个，说WPS文档不停转圈圈，根本不能汇总，一动就卡；我当时就想着，很有可能又是宏病毒vba之类的；我给说了几个方式，比如找个空表重新粘贴，et表转xlsx格式等等都无济于事；早上跑过来加班，科室大哥说昨天折腾到凌晨4点，最后是单位副boss来亲自搞的表，说其中一个文档打开就是占用蹭蹭涨；我说副boss应该懂些电脑，哈哈~我就想八成是病毒感染没跑了；直接上传微步，虽然我看里面杀软没提示，但是提示有病毒利用，看来感染是做实了；分析能力有限，只能写点小日记，老规矩，上传大家看热闹。

微步：https://s.threatbook.com/report/ ... 2ea02d0aad2f30cf0cd奇安信：https://sandbox.ti.qianxin.com/s ... ZU8DE5Bh6wn_HCy9sFa

杀毒网：https://www.virscan.org/report/a ... 2ea02d0aad2f30cf0cd
样本：

解压密码：123

网上查到一个21年的报道，不知道是否是这个漏洞。
https://cloud.tencent.com/developer/article/1768553

显示全部楼层 · 发表于 2025-2-22 10:52:47

金山毒霸：0

显示全部楼层 · 发表于 2025-2-22 11:25:00

火绒扫描miss

显示全部楼层 · 发表于 2025-2-22 11:41:56

SEP右键miss，虚拟机没有office所以没法双击

显示全部楼层 · 发表于 2025-2-22 12:18:19

可以看下WPS的版本吗？这里未能复现高占用情况

子进程是打印机进程，不确定微步的检测结果是否正确

显示全部楼层 · 发表于 2025-2-22 12:31:39

ANY.LNK 发表于 2025-2-22 12:18
可以看下WPS的版本吗？这里未能复现高占用情况

子进程是打印机进程，不确定微步的检测结果是否正确

11.8.2.12309
我在我电脑上倒是打开了，不过就是删除了内容为了给大家传样本，一小会倒是没发现卡机，但是目前昨天反馈三台电脑都卡，WPS版本应该都不太一样，大版本倒都是2019。

显示全部楼层 · 发表于 2025-2-22 13:06:37

truetime 发表于 2025-2-22 12:31
11.8.2.12309
我在我电脑上倒是打开了，不过就是删除了内容为了给大家传样本，一小会倒是没发现卡机，但 ...

OK，去拿个旧版本的WPS试试

显示全部楼层 · 发表于 2025-2-22 13:20:02

ANY.LNK 发表于 2025-2-22 13:06
OK，去拿个旧版本的WPS试试

好的。主要用pro版，不要用个人版。

显示全部楼层 · 发表于 2025-2-22 13:46:29

嗯……11.1.0.10468没有复现……

显示全部楼层 · 发表于 2025-2-22 15:06:17

cortex miss

[病毒样本] 单位科室姐传来的卡机病毒文档

本帖子中包含更多资源

本帖子中包含更多资源