kuttin 发布于十一月 20, 2017 分享 发布于十一月 20, 2017 15 小时前, 萨卡 说道: 确认是病毒, 已隐藏. 详情特征: 会创建运行文件 C:\ProgramData\MicrosoftCorporation\Windows\System32\lsass.exe 和本体一样用themida加壳. lsass.exe 文件说明伪装为 xmedia recode (某视频转换工具). 用于引导并运行以下脚本, 同时设其为开始项. 因此单独分析此文件不一定报毒 因为脚本不在一起. 会创建目录和文件: C:\ProgramData\WindowsAppCertification 其中有脚本会从 http://api4.xxx.ru/2.0/method/update (已隐藏完整地址) 到 C:\ProgramData\MicrosoftCorporation\Windows\System32\Isass.exe 其软件伪装成ccleaner工具的图标 说明用sourcetree作为伪装. 是比特币挖矿器病毒. 到这就不分析下去了. 以上. 中招的表示已被360給擋了 之後查電腦那些資料夾的位置表示都不存在 然後看到工作管理員把LSASS.EXE給關了(之後就免費幫你重開機XD) 感謝大大精確解說 链接到点评
推荐贴