全球主机交流论坛

 找回密码
 注册

QQ登录

只需一步,快速开始

CeraNetworksBGVM服务器IP归属甄别会员请立即修改密码Sharktech防护
查看: 916|回复: 21

@mtx版主快出来处理个帖子

[复制链接]
发表于 2020-10-10 21:25:49 | 显示全部楼层 |阅读模式
本帖最后由 hxuf 于 2020-10-10 23:18 编辑

https://www.hostloc.com/thread-751208-1-1.html

二楼提供的连接网盘。软件更新后是病毒。卡巴和火绒全部挂了。

麻烦版主处理下。@mtx @欧阳逍遥


更新一下habo的扫描信息:https://habo.qq.com/file/showdetail?md5=f9e75f2e161f068002663a8c462cd826&pk=ADcGYl1lB2MIO1s%2BU2Q%3D

目前全盘扫描99%,没有问题。

截取habo扫描信息:
基本信息
文件名称:       
KinhDown.exe

MD5:        f9e75f2e161f068002663a8c462cd826
文件类型:        EXE
上传时间:        2020-10-10 23:07:21
出品公司:        Uallen_Qbit
版本:        1.0.0.0---1.0.0.0
壳或编译器信息:        PACKER:UPolyX v0.5
关键行为
行为描述:        直接调用系统关键API
详情信息:       
Index = 0x0000009A, Name: NtQueryInformationProcess, Instruction Address = 0x011260C9

Index = 0x000000E5, Name: NtSetInformationThread, Instruction Address = 0x01CC1078

Index = 0x00000074, Name: NtOpenFile, Instruction Address = 0x010D6703

Index = 0x00000032, Name: NtCreateSection, Instruction Address = 0x01102F3E

Index = 0x0000006C, Name: NtMapViewOfSection, Instruction Address = 0x01102F3E

Index = 0x0000010B, Name: NtUnmapViewOfSection, Instruction Address = 0x010FFA67

Index = 0x00000019, Name: NtClose, Instruction Address = 0x010FFA67

Index = 0x00000019, Name: NtClose, Instruction Address = 0x0118B783

Index = 0x00000089, Name: NtProtectVirtualMemory, Instruction Address = 0x01102F3E

行为描述:        获取TickCount值
详情信息:       
TickCount = 231822, SleepMilliseconds = 10.

TickCount = 231838, SleepMilliseconds = 10.

TickCount = 231853, SleepMilliseconds = 10.

TickCount = 231869, SleepMilliseconds = 10.

TickCount = 231885, SleepMilliseconds = 10.

TickCount = 231900, SleepMilliseconds = 10.

TickCount = 231916, SleepMilliseconds = 10.

TickCount = 231931, SleepMilliseconds = 10.

TickCount = 231947, SleepMilliseconds = 10.

TickCount = 231963, SleepMilliseconds = 10.

TickCount = 231978, SleepMilliseconds = 10.

TickCount = 231994, SleepMilliseconds = 10.

TickCount = 232010, SleepMilliseconds = 10.

TickCount = 232025, SleepMilliseconds = 10.

TickCount = 232041, SleepMilliseconds = 10.

行为描述:        直接获取CPU时钟
详情信息:       
EAX = 0xf922d0fb, EDX = 0x000000bb

EAX = 0xf922d147, EDX = 0x000000bb

EAX = 0xf922d193, EDX = 0x000000bb

EAX = 0xf922d1df, EDX = 0x000000bb

EAX = 0xf922d22b, EDX = 0x000000bb

EAX = 0xf922d277, EDX = 0x000000bb

EAX = 0xf922d2c3, EDX = 0x000000bb

EAX = 0xf922d30f, EDX = 0x000000bb

EAX = 0xf922d35b, EDX = 0x000000bb

EAX = 0xf922d3a7, EDX = 0x000000bb

行为描述:        VMWare特殊指令检测虚拟机
详情信息:       
N/A

进程行为
创建进程
创建本地线程
枚举进程
更多>>
文件行为
查找文件
更多>>
其他行为
直接调用系统关键API
检测自身是否被调试
创建互斥体
创建事件对象
打开互斥体
查找指定窗口
打开事件
搜索kernel32.dll基地址
窗口信息
调用Sleep函数
隐藏指定窗口
获取TickCount值
直接获取CPU时钟
VMWare特殊指令检测虚拟机
更多>>
发表于 2020-10-10 21:45:27 | 显示全部楼层
软件那么大肯定有问题的。看看yixun 去掉aria curl sl saldl 只有500KB不到的大小
这个东西 20M就有问题了 一个下载器为什么要那么大?
发表于 2020-10-10 21:32:27 | 显示全部楼层
前排吃瓜,这么厉害的吗
发表于 2020-10-10 21:32:33 | 显示全部楼层
看大戏,来人鉴定
发表于 2020-10-10 21:33:12 | 显示全部楼层
所以说,不要随便下载论坛的东西
发表于 2020-10-10 21:33:49 | 显示全部楼层
这里不是52 东西不要乱下...
 楼主| 发表于 2020-10-10 21:34:19 | 显示全部楼层
本帖最后由 hxuf 于 2020-10-10 21:49 编辑
16qf 发表于 2020-10-10 21:32
前排吃瓜,这么厉害的吗


杀毒软件查不出病毒,但是刚刚就是卡巴直接没了。重启啥都查不出。不知道是乌龙。还是软件升级就是会自动关杀毒软件。

补充下,自己的火绒和卡巴都没有提示任何病毒。在线扫描还是很多报红。

全盘扫描中。

发表于 2020-10-10 21:44:47 | 显示全部楼层
提示: 作者被禁止或删除 内容自动屏蔽
发表于 2020-10-10 21:46:41 | 显示全部楼层
nekobiu 发表于 2020-10-10 21:45
软件那么大肯定有问题的。看看yixun 去掉aria curl sl saldl 只有500KB不到的大小
这个东西 20M就有问题了  ...

加壳 壳套壳
您需要登录后才可以回帖 登录 | 注册

本版积分规则

小黑屋|手机版|Archiver|全球主机交流论坛

GMT+8, 2020-12-5 04:23 , Processed in 0.066483 second(s), 9 queries , MemCache On.

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表