查看:98
回复:4
大佬帮忙看看这是什么病毒[复制链接]

2020-08-17 10:48:02 只看楼主 倒序浏览 电梯直达

一**U盘就跳出这程序
U盘刚格式化,难道是计算机中毒了?
MD5:af68f86c11a923a99fc0641487c4d2e7
开始养老了
LV.2
主题1
回帖0
经验11
Z 币6
开始养老了
LV.2
主题 1
回帖 0
经验 11
Z 币 6
注册 2020-08-17
最近 2020-08-17
4 条回复
2020-08-30 18:57:00 沙发


基本信息
文件名称:
scaKhCw.exe
MD5:af68f86c11a923a99fc0641487c4d2e7
文件类型:EXE
上传时间:2020-08-17 10:38:26
出品公司:Microsoft Corporation
版本:3.5.21022.8---3.5.21022.8 (RTM.021022-0800)
壳或编译器信息:COMPILER:Microsoft Visual Studio .NET 2005 -- 2008 -> Microsoft Corporation *

关键行为
行为描述:跨进程写入数据
详情信息:
TargetProcess = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe, WriteAddress = 0x00400000, Size = 0x00001000 TargetPID = 0x00000b14
TargetProcess = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe, WriteAddress = 0x0040f000, Size = 0x00001000 TargetPID = 0x00000b14
TargetProcess = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe, WriteAddress = 0x00413000, Size = 0x00018000 TargetPID = 0x00000b14
TargetProcess = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe, WriteAddress = 0x0042b000, Size = 0x00001000 TargetPID = 0x00000b14
TargetProcess = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe, WriteAddress = 0x7ffd9008, Size = 0x00000004 TargetPID = 0x00000b14
TargetProcess = C:\WINDOWS\system32\svchost.exe, WriteAddress = 0x00090000, Size = 0x0002c000 TargetPID = 0x00000b34
TargetProcess = C:\WINDOWS\system32\svchost.exe, WriteAddress = 0x000c0000, Size = 0x00000104 TargetPID = 0x00000b34
TargetProcess = C:\WINDOWS\system32\calc.exe, WriteAddress = 0x000a0000, Size = 0x00000d4c TargetPID = 0x00000b44
TargetProcess = C:\WINDOWS\system32\calc.exe, WriteAddress = 0x000a0d4c, Size = 0x00000540 TargetPID = 0x00000b44
TargetProcess = C:\WINDOWS\system32\mspaint.exe, WriteAddress = 0x000a0000, Size = 0x0002c000 TargetPID = 0x00000bf0
TargetProcess = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe, WriteAddress = 0x00400000, Size = 0x00000400 TargetPID = 0x00000c1c
TargetProcess = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe, WriteAddress = 0x00411000, Size = 0x00003800 TargetPID = 0x00000c1c
TargetProcess = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe, WriteAddress = 0x00415000, Size = 0x00001e00 TargetPID = 0x00000c1c
TargetProcess = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe, WriteAddress = 0x0044c000, Size = 0x00001e00 TargetPID = 0x00000c1c
TargetProcess = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe, WriteAddress = 0x7ffdf008, Size = 0x00000004 TargetPID = 0x00000c1c
行为描述:创建远程线程
详情信息:
TargetProcess: svchost.exe, InheritedFromPID = 2836, ProcessID = 2868, ThreadID = 2876, StartAddress = 00097830, Parameter = 000C0000
TargetProcess: calc.exe, InheritedFromPID = 2836, ProcessID = 2884, ThreadID = 2892, StartAddress = 000A0E8C, Parameter = 000A0000
TargetProcess: mspaint.exe, InheritedFromPID = 2868, ProcessID = 3056, ThreadID = 3064, StartAddress = 000AB9D0, Parameter = 00000000
TargetProcess: smss.exe, InheritedFromPID = 4, ProcessID = 520, ThreadID = 3132, StartAddress = 00325C50, Parameter = 00310000
TargetProcess: csrss.exe, InheritedFromPID = 520, ProcessID = 584, ThreadID = 3136, StartAddress = 03DD5C50, Parameter = 039B0000
TargetProcess: winlogon.exe, InheritedFromPID = 520, ProcessID = 608, ThreadID = 3140, StartAddress = 01415C50, Parameter = 00E30000
TargetProcess: services.exe, InheritedFromPID = 608, ProcessID = 652, ThreadID = 3148, StartAddress = 00BB5C50, Parameter = 00760000
TargetProcess: svchost.exe, InheritedFromPID = 652, ProcessID = 872, ThreadID = 3152, StartAddress = 025C5C50, Parameter = 00D30000
TargetProcess: svchost.exe, InheritedFromPID = 652, ProcessID = 936, ThreadID = 3156, StartAddress = 00E75C50, Parameter = 00E60000
TargetProcess: svchost.exe, InheritedFromPID = 652, ProcessID = 976, ThreadID = 3160, StartAddress = 05A05C50, Parameter = 00C00000
TargetProcess: svchost.exe, InheritedFromPID = 652, ProcessID = 1060, ThreadID = 3164, StartAddress = 007B5C50, Parameter = 007A0000
TargetProcess: svchost.exe, InheritedFromPID = 652, ProcessID = 1092, ThreadID = 3168, StartAddress = 01135C50, Parameter = 01120000
TargetProcess: spoolsv.exe, InheritedFromPID = 652, ProcessID = 1180, ThreadID = 3172, StartAddress = 015B5C50, Parameter = 00FA0000
TargetProcess: jqs.exe, InheritedFromPID = 652, ProcessID = 1304, ThreadID = 3184, StartAddress = 013B5C50, Parameter = 013A0000
TargetProcess: alg.exe, InheritedFromPID = 652, ProcessID = 1624, ThreadID = 3196, StartAddress = 00D85C50, Parameter = 00C90000
行为描述:设置线程上下文
详情信息:
C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe
行为描述:获取TickCount值
详情信息:
TickCount = 240689, SleepMilliseconds = 4002.
TickCount = 244236, SleepMilliseconds = 4002.
行为描述:跨进程写代码段数据
详情信息:
TargetProcess = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe, WriteAddress = 0x00401000, Size = 0x0000c000 TargetPID = 0x00000b14
TargetProcess = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe, WriteAddress = 0x0040d000, Size = 0x00002000 TargetPID = 0x00000b14
TargetProcess = C:\Documents and Settings\Administrator\Local Settings\%temp%\****.exe, WriteAddress = 0x00401000, Size = 0x00010000 TargetPID = 0x00000c1c
行为描述:查找PE资源信息
详情信息:
(FindResourceA) hModule = 0x00000000, ResName: 1, ResType:
行为描述:查找文件方式探测虚拟机
详情信息:
FindFirstFileEx: FileName = C:\Documents and Settings\Administrator\「开始」菜单\程序\Oracle VM VirtualBox Guest Additions\*.*
行为描述:设置特殊文件夹属性
详情信息:
C:\DiskX
C:\Documents and Settings\Administrator\Local Settings\Application Data\Microsoft\Feeds Cache
行为描述:修改注册表_启动项
详情信息:
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Run\Windows Explorer Manager
\REGISTRY\USER\S-*\Software\Microsoft\Windows\CurrentVersion\Run\Gxmkmq
Σ_129
LV.1
主题0
回帖3
经验4
Z 币4
Σ_129
LV.1
主题 0
回帖 3
经验 4
Z 币 4
注册 2020-08-30
最近 2020-08-30
2020-08-30 18:58:44 板凳
病毒;纯的
Σ_129
LV.1
主题0
回帖3
经验4
Z 币4
Σ_129
LV.1
主题 0
回帖 3
经验 4
Z 币 4
注册 2020-08-30
最近 2020-08-30
2020-08-30 19:00:19 地板
查找文件方式探测虚拟机  
设置特殊文件夹属性  

跨进程写代码段数据

创建远程线程
跨进程写入数据

设置特殊文件夹属性  
修改注册表_启动项
Σ_129
LV.1
主题0
回帖3
经验4
Z 币4
Σ_129
LV.1
主题 0
回帖 3
经验 4
Z 币 4
注册 2020-08-30
最近 2020-08-30
2020-09-02 10:24:20 4#
纯纯的病毒 
开怀_886
LV.1
主题0
回帖3
经验4
Z 币4
开怀_886
LV.1
主题 0
回帖 3
经验 4
Z 币 4
注册 2020-09-02
最近 2020-09-02
回复

您需要 登录 后才可以回帖

Copyright © 2020 Tencent.All Rights Reserved.
本论坛部分内容来源于用户上传,如有侵权内容、不妥之处,请联系我们删除,敬请谅解!