全球主机交流论坛

标题: 哪位大佬帮忙分析下这个病毒样本 [打印本页]
作者: 快乐快乐的    时间: 2024-8-14 12:24
标题: 哪位大佬帮忙分析下这个病毒样本
病毒会定时触发,自动对聊天通信软件的群发送一个exe文件,通过在线病毒扫描,无法检测出,本地安装的杀毒软件无法检测到,应该是做了免杀

病毒样本连接:https://wwmi.lanzouo.com/iAsof27efg8d

作者: HOH    时间: 2024-8-14 12:28
本帖最后由 HOH 于 2024-8-14 12:30 编辑

还免杀呢,丢人现眼


(, 下载次数: 1)


作者: dafeng123456    时间: 2024-8-14 12:38
的确,浏览器和windows安全中心都报毒了
作者: 16qf    时间: 2024-8-14 12:39
行为描述:        跨进程写入数据
详情信息:       
TargetProcess = lsass.exe, WriteAddress = 0x000001C49B8C0000, Size = 0x00023056

行为描述:        设置线程上下文
详情信息:       
C:\Users\Administrator\AppData\Local\%temp%\****.exe

行为描述:        进程提权信息
详情信息:       
NT AUTHORITY\SYSTEM
作者: zsj1259    时间: 2024-8-14 13:32
defender都过不了,更不要说免杀自启过核晶了- -,360核晶开启来解君愁,市面上的木马基本都过不了核晶自启。
作者: zsj1259    时间: 2024-8-14 13:36
定时触发你就计划任务表,注册表的run文件,和开机自启文件查看,全部删除也可以,然后重启这个木马大概就无效了。一般木马的自启也就这三个,而且市面上的基本过不了360核晶,会中自启木马的基本是不开360核晶的。
作者: thaizxj    时间: 2024-8-14 13:44
360?推广贴?



欢迎光临 全球主机交流论坛 (https://fd.vvwvv.eu.org/) Powered by Discuz! X3.4