转跳到内容

嫌疑求验证


只显示该作者

只有该作者的内容显示中。 返回到主题

推荐贴

资源区某转载资源里面有lsass木马携带嫌疑  https://sstm.moe/files/file/26252-【转载亲传rpg86m】-見習いプリーストサニア-森の穢れに呑まれた白い肢体/

刚开始压缩包下下来报毒就留了个心眼 

因为一直都比较相信论坛上的东西所以还是打开杀软之后解压

然后运行龙头的时候就报在DATA里面有携带Isass 我就感觉不对了 

现在正在全盘查杀中  已经有查到了 

资源区那边我已经交了评测 但是现在这个点不知道分管还在不在   所以这边也发一个

希望懂这方面的管理大大测试一下做下处理  

希望只是我杀软误报和我多心了  毕竟那么多年在论坛都没遇到过  有先例的话影响太不好

(另外  新版本不会设置阅读权限,毕竟是未验证的东西 希望能加上100权限)

注释
奥比希金 奥比希金 30.00节操 举报病毒有奖~
链接到点评
2 小时前, 萨卡 说道:

确认是病毒, 已隐藏.

详情特征:

会创建运行文件 C:\ProgramData\MicrosoftCorporation\Windows\System32\lsass.exe

和本体一样用themida加壳. lsass.exe 文件说明伪装为 xmedia recode (某视频转换工具). 用于引导并运行以下脚本, 同时设其为开始项. 因此单独分析此文件不一定报毒 因为脚本不在一起.

会创建目录和文件: C:\ProgramData\WindowsAppCertification

其中有脚本会从 http://api4.xxx.ru/2.0/method/update (已隐藏完整地址) 到 C:\ProgramData\MicrosoftCorporation\Windows\System32\Isass.exe

其软件伪装成ccleaner工具的图标 说明用sourcetree作为伪装. 是比特币挖矿器病毒.

到这就不分析下去了. 以上.

 

哇塞!  那么厉害。。。  

感谢SAKA大大检测。。。  

链接到点评
27 分钟前, man6223200 说道:

大意中招的人路过,请问如何彻底清理

因为之后登录过网银,和支付宝有点害怕

 

看SAKA大大的测试应该不是太恶性的病毒   

反正我全盘查杀了就继续用了。。。 

不过我是发现有可疑进程和调动脚本就把他停止掉了  启动项也没被改  

总之还是先全盘查一遍  然后再看看网银支付宝那些有没有异常登录记录吧 

最好的还是改一遍密码了

链接到点评
游客
此主题已关闭。
×
×
  • 新建...

重要消息

为使您更好地使用该站点,请仔细阅读以下内容: 使用条款