昔日晨光 发布于十一月 19, 2017 分享 发布于十一月 19, 2017 资源区某转载资源里面有lsass木马携带嫌疑 https://sstm.moe/files/file/26252-【转载亲传rpg86m】-見習いプリーストサニア-森の穢れに呑まれた白い肢体/ 刚开始压缩包下下来报毒就留了个心眼 因为一直都比较相信论坛上的东西所以还是打开杀软之后解压 然后运行龙头的时候就报在DATA里面有携带Isass 我就感觉不对了 现在正在全盘查杀中 已经有查到了 资源区那边我已经交了评测 但是现在这个点不知道分管还在不在 所以这边也发一个 希望懂这方面的管理大大测试一下做下处理 希望只是我杀软误报和我多心了 毕竟那么多年在论坛都没遇到过 有先例的话影响太不好 (另外 新版本不会设置阅读权限,毕竟是未验证的东西 希望能加上100权限) 注释 奥比希金 30.00节操 举报病毒有奖~ 3 链接到点评
昔日晨光 发布于十一月 19, 2017 作者 分享 发布于十一月 19, 2017 1 分钟前, 奥比希金 说道: 调查了一下那个文件,并且下载了一次。当我看见龙头exe的大小是4m的时候........的确有问题 龙头exe标准大小是138k,很精确 多谢你的投诉! 诶 终于 没有误报就好 我也刚刚查杀重启完。。。 链接到点评
昔日晨光 发布于十一月 19, 2017 作者 分享 发布于十一月 19, 2017 52 分钟前, 嘟嘟噜~ 说道: 同人资源区的版主都不在 阅读权限没了,先这样吧 @soulpig @huangy2004 @john412 @Armennoik 欸 好吧 居然没了。。。 现在有结果了就好了。。。 链接到点评
昔日晨光 发布于十一月 20, 2017 作者 分享 发布于十一月 20, 2017 2 小时前, 萨卡 说道: 确认是病毒, 已隐藏. 详情特征: 会创建运行文件 C:\ProgramData\MicrosoftCorporation\Windows\System32\lsass.exe 和本体一样用themida加壳. lsass.exe 文件说明伪装为 xmedia recode (某视频转换工具). 用于引导并运行以下脚本, 同时设其为开始项. 因此单独分析此文件不一定报毒 因为脚本不在一起. 会创建目录和文件: C:\ProgramData\WindowsAppCertification 其中有脚本会从 http://api4.xxx.ru/2.0/method/update (已隐藏完整地址) 到 C:\ProgramData\MicrosoftCorporation\Windows\System32\Isass.exe 其软件伪装成ccleaner工具的图标 说明用sourcetree作为伪装. 是比特币挖矿器病毒. 到这就不分析下去了. 以上. 哇塞! 那么厉害。。。 感谢SAKA大大检测。。。 链接到点评
昔日晨光 发布于十一月 20, 2017 作者 分享 发布于十一月 20, 2017 27 分钟前, man6223200 说道: 大意中招的人路过,请问如何彻底清理 因为之后登录过网银,和支付宝有点害怕 看SAKA大大的测试应该不是太恶性的病毒 反正我全盘查杀了就继续用了。。。 不过我是发现有可疑进程和调动脚本就把他停止掉了 启动项也没被改 总之还是先全盘查一遍 然后再看看网银支付宝那些有没有异常登录记录吧 最好的还是改一遍密码了 链接到点评
推荐贴