嫌疑求验证

[昔日晨光]

资源区某转载资源里面有lsass木马携带嫌疑  https://sstm.moe/files/file/26252-【转载亲传rpg86m】-見習いプリーストサニア-森の穢れに呑まれた白い肢体/

刚开始压缩包下下来报毒就留了个心眼 

因为一直都比较相信论坛上的东西所以还是打开杀软之后解压

然后运行龙头的时候就报在DATA里面有携带Isass 我就感觉不对了 

现在正在全盘查杀中  已经有查到了 

资源区那边我已经交了评测 但是现在这个点不知道分管还在不在   所以这边也发一个

希望懂这方面的管理大大测试一下做下处理  

希望只是我杀软误报和我多心了  毕竟那么多年在论坛都没遇到过  有先例的话影响太不好

（另外  新版本不会设置阅读权限，毕竟是未验证的东西 希望能加上100权限）

[嘟嘟噜~]

同人资源区的版主都不在

阅读权限没了，先这样吧

 @soulpig

@huangy2004 @john412 @Armennoik

[奥比希金]

调查了一下那个文件，并且下载了一次。当我看见龙头exe的大小是4m的时候........的确有问题

龙头exe标准大小是138k，很精确

多谢你的投诉！

 

[昔日晨光]

1 分钟前, 奥比希金 说道:

调查了一下那个文件，并且下载了一次。当我看见龙头exe的大小是4m的时候........的确有问题

龙头exe标准大小是138k，很精确

多谢你的投诉！

 

诶  终于  没有误报就好 

 

我也刚刚查杀重启完。。。

[昔日晨光]

52 分钟前, 嘟嘟噜~ 说道:

同人资源区的版主都不在

阅读权限没了，先这样吧

 @soulpig

@huangy2004 @john412 @Armennoik

欸  好吧  居然没了。。。 

现在有结果了就好了。。。 

[萨卡]

确认是病毒, 已隐藏.

详情特征:

会创建运行文件 C:\ProgramData\MicrosoftCorporation\Windows\System32\lsass.exe

和本体一样用themida加壳. lsass.exe 文件说明伪装为 xmedia recode (某视频转换工具). 用于引导并运行以下脚本, 同时设其为开始项. 因此单独分析此文件不一定报毒 因为脚本不在一起.

会创建目录和文件: C:\ProgramData\WindowsAppCertification

其中有脚本会从 http://api4.xxx.ru/2.0/method/update (已隐藏完整地址) 到 C:\ProgramData\MicrosoftCorporation\Windows\System32\Isass.exe

其软件伪装成ccleaner工具的图标 说明用sourcetree作为伪装. 是比特币挖矿器病毒.

到这就不分析下去了. 以上.

 

[Armennoik]

wtf....感谢saka大大的帮助和验出的毒>.<

[昔日晨光]

2 小时前, 萨卡 说道:

确认是病毒, 已隐藏.

详情特征:

会创建运行文件 C:\ProgramData\MicrosoftCorporation\Windows\System32\lsass.exe

和本体一样用themida加壳. lsass.exe 文件说明伪装为 xmedia recode (某视频转换工具). 用于引导并运行以下脚本, 同时设其为开始项. 因此单独分析此文件不一定报毒 因为脚本不在一起.

会创建目录和文件: C:\ProgramData\WindowsAppCertification

其中有脚本会从 http://api4.xxx.ru/2.0/method/update (已隐藏完整地址) 到 C:\ProgramData\MicrosoftCorporation\Windows\System32\Isass.exe

其软件伪装成ccleaner工具的图标 说明用sourcetree作为伪装. 是比特币挖矿器病毒.

到这就不分析下去了. 以上.

 

哇塞！  那么厉害。。。  

感谢SAKA大大检测。。。  

[man6223200]

大意中招的人路过，请问如何彻底清理

因为之后登录过网银，和支付宝有点害怕

 

[昔日晨光]

27 分钟前, man6223200 说道:

大意中招的人路过，请问如何彻底清理

因为之后登录过网银，和支付宝有点害怕

 

看SAKA大大的测试应该不是太恶性的病毒   

反正我全盘查杀了就继续用了。。。 

不过我是发现有可疑进程和调动脚本就把他停止掉了  启动项也没被改  

总之还是先全盘查一遍  然后再看看网银支付宝那些有没有异常登录记录吧 

最好的还是改一遍密码了

[萨卡]

2 小时前, 昔日晨光 说道:

看SAKA大大的测试应该不是太恶性的病毒   

反正我全盘查杀了就继续用了。。。 

不过我是发现有可疑进程和调动脚本就把他停止掉了  启动项也没被改  

总之还是先全盘查一遍  然后再看看网银支付宝那些有没有异常登录记录吧 

最好的还是改一遍密码了

建议多检查下, 特别要确认那2目录完全砍掉.

我记得中间还有加载其他程序, Issas还不是本体来着. 本体还从另外的网站上下, 我已经发了举报过去了, 但愿他们会处理.

另外检查下cpu占用以及奇怪进程. 看主要程序名故意混淆注意微软的lsass和假的路径以及相近的名字 (ISASS而不是LSASS等).

[萨卡]

3 小时前, man6223200 说道:

大意中招的人路过，请问如何彻底清理

因为之后登录过网银，和支付宝有点害怕

 

不过有一点好的是 对方是俄罗斯看不懂中文hhhhhh

[小魔女妮特]

7 小时前, 萨卡 说道:

确认是病毒, 已隐藏.

详情特征:

会创建运行文件 C:\ProgramData\MicrosoftCorporation\Windows\System32\lsass.exe

和本体一样用themida加壳. lsass.exe 文件说明伪装为 xmedia recode (某视频转换工具). 用于引导并运行以下脚本, 同时设其为开始项. 因此单独分析此文件不一定报毒 因为脚本不在一起.

会创建目录和文件: C:\ProgramData\WindowsAppCertification

其中有脚本会从 http://api4.xxx.ru/2.0/method/update (已隐藏完整地址) 到 C:\ProgramData\MicrosoftCorporation\Windows\System32\Isass.exe

其软件伪装成ccleaner工具的图标 说明用sourcetree作为伪装. 是比特币挖矿器病毒.

到这就不分析下去了. 以上.

 

怪不得我以前运行这样的游戏的时候，游戏exe文件的大小变得很不正常。 

而且还感染了临近的exe文件。 当时我还束手无策。

十一月 20, 2017，由帕琪妮特修改

[man6223200]

1 小时前, 萨卡 说道:

不过有一点好的是 对方是俄罗斯看不懂中文hhhhhh

我查了你说的几个文件位置，都不存在，是不是算安全了？

（打开了显示隐藏系统文件和文件查的）

[萨卡]

28 分钟前, man6223200 说道:

我查了你说的几个文件位置，都不存在，是不是算安全了？

（打开了显示隐藏系统文件和文件查的）

这个游戏运行后不存在？杀毒软件清理出结果的话应该没事 多留意点吧

[Christine]

12 小时前, 奥比希金 说道:

调查了一下那个文件，并且下载了一次。当我看见龙头exe的大小是4m的时候........的确有问题

龙头exe标准大小是138k，很精确

多谢你的投诉！

 

 

龙头exe标准大小是138k，学习一下这种细节

[kuttin]

15 小时前, 萨卡 说道:

确认是病毒, 已隐藏.

详情特征:

会创建运行文件 C:\ProgramData\MicrosoftCorporation\Windows\System32\lsass.exe

和本体一样用themida加壳. lsass.exe 文件说明伪装为 xmedia recode (某视频转换工具). 用于引导并运行以下脚本, 同时设其为开始项. 因此单独分析此文件不一定报毒 因为脚本不在一起.

会创建目录和文件: C:\ProgramData\WindowsAppCertification

其中有脚本会从 http://api4.xxx.ru/2.0/method/update (已隐藏完整地址) 到 C:\ProgramData\MicrosoftCorporation\Windows\System32\Isass.exe

其软件伪装成ccleaner工具的图标 说明用sourcetree作为伪装. 是比特币挖矿器病毒.

到这就不分析下去了. 以上.

 

中招的表示已被360給擋了

之後查電腦那些資料夾的位置表示都不存在

然後看到工作管理員把LSASS.EXE給關了(之後就免費幫你重開機XD)

感謝大大精確解說