病毒吧求助者提供的样本 卡巴斯基扫不出

tony099

vt:https://www.virustotal.com/gui/f ... 2a0c60739/detection

貌似是高质量样本？/

米店不卖大米通过QQ闪传分享了【CrashRep.zip】
链接：https://qfile.qq.com/q/RJnxcASSWe

飞翔的蒲公英

· 火绒：扫描安全
虚拟机里双击不运行，没有动态行为：


· 安恒沙箱：挖矿程序
https://sandbox.dbappsecurity.com.cn/report/c7a8a530-f4a5-4c1e-bfe9-439a06ce69c8

· 奇安信沙箱：情报显示威胁
https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AZtVswSxONZSmF3-QeU9

· 深信服情报沙箱：外联网站情报威胁
https://ti.sangfor.com.cn/sandbox-report/YjNkYTRlMjRiNGY0NjY2MTE0NzhlNDg4ZTQ5YjdkM2Y=?system_type=win10_64&sandboxType=c

· 安天：
判定结果：Trojan.Win32.Bandoor[Backdoor]
分析结论

• 恶意代码类型：日志中明确指出最终生成的结果为 Trojan.Win32.Bandoor[Backdoor]，这是一种已知的后门木马程序。
• 可疑行为：
  
  
  • 异常的字节模式：日志中多次出现大量的 \x00 和其他不规则字节，这通常用于隐藏恶意代码或绕过简单的检测机制。
  • 动态代码注入：存在多处与内存操作相关的指令，如 push, pop, call 等，可能用于在运行时注入和执行恶意代码。
  • 权限提升请求：日志中提到的 <requestedPrivileges> 标签表明该程序试图获取更高的系统权限，这是后门程序常见的行为。
  • 网络通信：虽然日志未直接显示网络活动，但后门程序通常具备与远程服务器通信的能力，用于接收指令或传输数据。
    
    

· 绿盟（江民EDR）：


· 金山：

superLYT

BDTS双击不报

asdfnbbj

360

xjwtzq

奇安信解压

post88

avast kill了

pal家族

卡巴miss