排行榜

确认是病毒, 已隐藏. 详情特征: 会创建运行文件 C:\ProgramData\MicrosoftCorporation\Windows\System32\lsass.exe 和本体一样用themida加壳. lsass.exe 文件说明伪装为 xmedia recode (某视频转换工具). 用于引导并运行以下脚本, 同时设其为开始项. 因此单独分析此文件不一定报毒 因为脚本不在一起. 会创建目录和文件: C:\ProgramData\WindowsAppCertification 其中有脚本会从 http://api4.xxx.ru/2.0/method/update (已隐藏完整地址) 到 C:\ProgramData\MicrosoftCorporation\Windows\System32\Isass.exe 其软件伪装成ccleaner工具的图标 说明用sourcetree作为伪装. 是比特币挖矿器病毒. 到这就不分析下去了. 以上.