恶意bt tracker，似乎能通过bt软件感染计算机

New_Start.

开着bt下载，似乎中招了，web反病毒疯狂警报。随后卡巴提示系统内存存在威胁并需要高级清除。


用户类型: 活动用户
组件: 恶意软件扫描
结果: 已清除
结果描述: 已清除
类型: 木马
名称: Trojan.Multi.BroSubsc.gen
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: System Memory


被拦截：hxxp://107.189.2.131



用户类型: 发起者
应用程序名称: BitComet.exe
应用程序路径: D:\softs\比特彗星(BitComet)-v2.06
组件: Web 威胁防护
结果描述: 已阻止
类型: 恶意链接
名称: http://107.189.2.131/announce?info_hash=ڽ%ec7%de%81$%fc%88Gjq%f9%b9ArBF3%8b&peer_id=-BC0206-%1d%eb%82%e5%b5%0b%ac%11y,@%aa&port=17073&natmapped=1&localip=192.168.31.254&port_type=lan&uploaded=0&downloaded=4587520&left=100513311539&numwant=200&compact=1&no_peer_id=1&key=59641&event=started
精确度: 确切
威胁级别: 高
对象类型: 网页
对象名称: announce?info_hash=ڽ%ec7%de%81$%fc%88Gjq%f9%b9ArBF3%8b&peer_id=-BC0206-%1d%eb%82%e5%b5%0b%ac%11y,@%aa&port=17073&natmapped=1&localip=192.168.31.254&port_type=lan&uploaded=0&downloaded=4587520&left=100513311539&numwant=200&compact=1&no_peer_id=1&key=59641&event=started
对象路径: http://107.189.2.131
原因: 自动分析
数据库发布日期: 昨天，2025/5/5 下午6:15:00

1073328164

迈克菲可疑

bbszy

最后中毒了吗？内存查到说明病毒已经运行了。

New_Start.

bbszy 发表于 2025-5-10 13:49
最后中毒了吗？内存查到说明病毒已经运行了。

应该是运行了，目前还在观察中，卡巴高级清除了一次后面未检查到威胁，已开启DLL和驱动加载控制了。

bbszy

New_Start. 发表于 2025-5-10 14:31
应该是运行了，目前还在观察中，卡巴高级清除了一次后面未检查到威胁，已开启DLL和驱动加载控制了。

DLL和驱动加载控制

这个是哪里的功能

aikafans

symantec miss

New_Start.

bbszy 发表于 2025-5-10 18:41
DLL和驱动加载控制

这个是哪里的功能

卡巴斯基应用程序控制功能的高级设置有这个功能。

bbszy

New_Start. 发表于 2025-5-10 23:35
卡巴斯基应用程序控制功能的高级设置有这个功能。

没搞懂这个入侵的原理，理论上bt只下载文件不会直接运行的呀

awsl10000次

除了bt以外还做别的事了嘛，
有没有可能是先中招然后卡巴的后台扫描发现的
通过bt下载注入到内存里运行有点超出我的认知了
被拦截的站点被sophos intelix标记为malicious，不知道会不会随后拉黑

New_Start.

awsl10000次 发表于 2025-5-11 02:39
除了bt以外还做别的事了嘛，
有没有可能是先中招然后卡巴的后台扫描发现的
通过bt下载注入到内存里运行有 ...

没有，主要是挂bt，空闲状态下卡巴开始后台扫描的，以前都没中过毒，我猜测上只要发生数据交换，对方就有可能通过应用程序漏洞（也许是未知的漏洞）执行任意代码。