@mtx版主快出来处理个帖子

hxuf · 发表于 2020-10-10 21:25:49

本帖最后由 hxuf 于 2020-10-10 23:18 编辑

https://www.hostloc.com/thread-751208-1-1.html

二楼提供的连接网盘。软件更新后是病毒。卡巴和火绒全部挂了。

麻烦版主处理下。@mtx @欧阳逍遥

更新一下habo的扫描信息：https://habo.qq.com/file/showdetail?md5=f9e75f2e161f068002663a8c462cd826&pk=ADcGYl1lB2MIO1s%2BU2Q%3D

目前全盘扫描99%，没有问题。

截取habo扫描信息：
基本信息
文件名称：
KinhDown.exe

MD5： f9e75f2e161f068002663a8c462cd826
文件类型： EXE
上传时间： 2020-10-10 23:07:21
出品公司： Uallen_Qbit
版本： 1.0.0.0---1.0.0.0
壳或编译器信息： PACKER:UPolyX v0.5
关键行为
行为描述：直接调用系统关键API
详情信息：
Index = 0x0000009A, Name: NtQueryInformationProcess, Instruction Address = 0x011260C9

Index = 0x000000E5, Name: NtSetInformationThread, Instruction Address = 0x01CC1078

Index = 0x00000074, Name: NtOpenFile, Instruction Address = 0x010D6703

Index = 0x00000032, Name: NtCreateSection, Instruction Address = 0x01102F3E

Index = 0x0000006C, Name: NtMapViewOfSection, Instruction Address = 0x01102F3E

Index = 0x0000010B, Name: NtUnmapViewOfSection, Instruction Address = 0x010FFA67

Index = 0x00000019, Name: NtClose, Instruction Address = 0x010FFA67

Index = 0x00000019, Name: NtClose, Instruction Address = 0x0118B783

Index = 0x00000089, Name: NtProtectVirtualMemory, Instruction Address = 0x01102F3E

行为描述：获取TickCount值
详情信息：
TickCount = 231822, SleepMilliseconds = 10.

TickCount = 231838, SleepMilliseconds = 10.

TickCount = 231853, SleepMilliseconds = 10.

TickCount = 231869, SleepMilliseconds = 10.

TickCount = 231885, SleepMilliseconds = 10.

TickCount = 231900, SleepMilliseconds = 10.

TickCount = 231916, SleepMilliseconds = 10.

TickCount = 231931, SleepMilliseconds = 10.

TickCount = 231947, SleepMilliseconds = 10.

TickCount = 231963, SleepMilliseconds = 10.

TickCount = 231978, SleepMilliseconds = 10.

TickCount = 231994, SleepMilliseconds = 10.

TickCount = 232010, SleepMilliseconds = 10.

TickCount = 232025, SleepMilliseconds = 10.

TickCount = 232041, SleepMilliseconds = 10.

行为描述：直接获取CPU时钟
详情信息：
EAX = 0xf922d0fb, EDX = 0x000000bb

EAX = 0xf922d147, EDX = 0x000000bb

EAX = 0xf922d193, EDX = 0x000000bb

EAX = 0xf922d1df, EDX = 0x000000bb

EAX = 0xf922d22b, EDX = 0x000000bb

EAX = 0xf922d277, EDX = 0x000000bb

EAX = 0xf922d2c3, EDX = 0x000000bb

EAX = 0xf922d30f, EDX = 0x000000bb

EAX = 0xf922d35b, EDX = 0x000000bb

EAX = 0xf922d3a7, EDX = 0x000000bb

行为描述： VMWare特殊指令检测虚拟机
详情信息：
N/A

进程行为
创建进程
创建本地线程
枚举进程
更多>>
文件行为
查找文件
更多>>
其他行为
直接调用系统关键API
检测自身是否被调试
创建互斥体
创建事件对象
打开互斥体
查找指定窗口
打开事件
搜索kernel32.dll基地址
窗口信息
调用Sleep函数
隐藏指定窗口
获取TickCount值
直接获取CPU时钟
VMWare特殊指令检测虚拟机
更多>>

nekobiu · 发表于 2020-10-10 21:45:27

软件那么大肯定有问题的。看看yixun 去掉aria curl sl saldl 只有500KB不到的大小
这个东西 20M就有问题了一个下载器为什么要那么大？

16qf · 发表于 2020-10-10 21:32:27

前排吃瓜，这么厉害的吗

h20 · 发表于 2020-10-10 21:32:33

提示: 作者被禁止或删除内容自动屏蔽

laogui · 发表于 2020-10-10 21:33:12

所以说，不要随便下载论坛的东西

龙笑天 · 发表于 2020-10-10 21:33:49

这里不是52 东西不要乱下...

jwstacey · 发表于 2020-10-10 21:33:50

口怕zsbd

hxuf · 发表于 2020-10-10 21:34:19

本帖最后由 hxuf 于 2020-10-10 21:49 编辑

16qf 发表于 2020-10-10 21:32
前排吃瓜，这么厉害的吗

杀毒软件查不出病毒，但是刚刚就是卡巴直接没了。重启啥都查不出。不知道是乌龙。还是软件升级就是会自动关杀毒软件。

补充下，自己的火绒和卡巴都没有提示任何病毒。在线扫描还是很多报红。

全盘扫描中。

显示全部楼层 · 发表于 2020-10-10 21:44:47

提示: 作者被禁止或删除内容自动屏蔽

h20 · 发表于 2020-10-10 21:46:41

提示: 作者被禁止或删除内容自动屏蔽

		自动登录	找回密码
密码			注册

h20 h20 当前离线积分 19897	发表于 2020-10-10 21:32:33 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
h20 h20 当前离线积分 19897
	回复支持反对举报

小鱼该用户已被删除	发表于 2020-10-10 21:44:47 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
小鱼该用户已被删除
	回复支持反对举报

h20 h20 当前离线积分 19897	发表于 2020-10-10 21:46:41 \| 显示全部楼层提示: 作者被禁止或删除内容自动屏蔽
h20 h20 当前离线积分 19897
	回复支持反对举报