小魔女妮特 发布于十一月 20, 2017 分享 发布于十一月 20, 2017 (已修改) 7 小时前, 萨卡 说道: 确认是病毒, 已隐藏. 详情特征: 会创建运行文件 C:\ProgramData\MicrosoftCorporation\Windows\System32\lsass.exe 和本体一样用themida加壳. lsass.exe 文件说明伪装为 xmedia recode (某视频转换工具). 用于引导并运行以下脚本, 同时设其为开始项. 因此单独分析此文件不一定报毒 因为脚本不在一起. 会创建目录和文件: C:\ProgramData\WindowsAppCertification 其中有脚本会从 http://api4.xxx.ru/2.0/method/update (已隐藏完整地址) 到 C:\ProgramData\MicrosoftCorporation\Windows\System32\Isass.exe 其软件伪装成ccleaner工具的图标 说明用sourcetree作为伪装. 是比特币挖矿器病毒. 到这就不分析下去了. 以上. 怪不得我以前运行这样的游戏的时候,游戏exe文件的大小变得很不正常。 而且还感染了临近的exe文件。 当时我还束手无策。 十一月 20, 2017,由帕琪妮特修改 链接到点评
推荐贴