病毒吧 关注:301,902贴子:1,195,039
  • 5回复贴,共1

求各位大佬帮我看看,这是个什么东西。

取消只看楼主收藏回复

上连接:
微云盘: h啊ttp啊s://s啊hare.w啊ei啊yun.c啊om/啊JXkjq啊B1n
火绒安全报毒为下
病毒名称:HEUR:VirTool/MSIL.Obfuscator.gen!A
病毒ID:3FDA44DCB57A42BE
病毒路径:C:\Users\Administrator\Desktop\Products Specifications(1).exe
操作类型:修改
操作结果:已处理
进程ID:1544
操作进程:C:\Windows\explorer.exe
操作进程命令行:C:\Windows\Explorer.EXE
父进程:C:\Windows\System32\userinit.exe
腾讯哈勃检测出来的是:高度风险,细节如下
关键行为
行为描述: 跨进程写入数据
详情信息: TargetProcess = C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe, WriteAddress = 0x00050000, Size = 0x00000020 TargetPID = 0x00000a28TargetProcess = C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe, WriteAddress = 0x00050020, Size = 0x00000034 TargetPID = 0x00000a28TargetProcess = C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe, WriteAddress = 0x7ffdf238, Size = 0x00000004 TargetPID = 0x00000a28
行为描述: 获取TickCount值
详情信息: TickCount = 1147681, SleepMilliseconds = 41556.TickCount = 1148009, SleepMilliseconds = 41556.TickCount = 1116906, SleepMilliseconds = 10000.TickCount = 1116953, SleepMilliseconds = 10000.TickCount = 1116968, SleepMilliseconds = 10000.TickCount = 1117171, SleepMilliseconds = 10000.TickCount = 1117218, SleepMilliseconds = 10000.TickCount = 1117250, SleepMilliseconds = 10000.TickCount = 1117421, SleepMilliseconds = 10000.TickCount = 1117437, SleepMilliseconds = 10000.TickCount = 1117453, SleepMilliseconds = 10000.TickCount = 1117468, SleepMilliseconds = 10000.TickCount = 1107504, SleepMilliseconds = 20.
行为描述: 直接获取CPU时钟
详情信息: EAX = 0x037e8e2d, EDX = 0x0000039bEAX = 0x037e8e79, EDX = 0x0000039bEAX = 0x037e8ec5, EDX = 0x0000039bEAX = 0x06318e41, EDX = 0x0000039b
行为描述: 查询注册表_检测虚拟机相关
详情信息: \REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\SystemBiosVersion\REGISTRY\MACHINE\HARDWARE\DESCRIPTION\System\VideoBiosVersion\REGISTRY\MACHINE\SOFTWARE\Oracle\VirtualBox Guest Additions\
进程行为:
隐藏窗口创建进程
创建进程
枚举进程
跨进程写入数据
文件行为:
创建文件
重命名文件
修改文件内容
查找文件
注册表行为:
修改注册表
删除注册表键值
查询注册表_检测虚拟机相关
其他行为:
检测自身是否被调试
创建互斥体
创建事件对象
打开互斥体
查找指定窗口
打开事件:
获取TickCount值
调整进程token权限
枚举窗口
调用Sleep函数
直接获取CPU时钟
导入密钥


IP属地:山东1楼2022-04-28 16:59回复


    IP属地:山东2楼2022-04-28 17:19
    回复


      IP属地:山东3楼2022-04-28 17:19
      回复


        IP属地:山东4楼2022-04-28 17:19
        回复


          IP属地:山东5楼2022-04-28 17:19
          回复


            IP属地:山东6楼2022-04-28 17:20
            回复