网站 › 『病毒救援区』 › 求坛友帮忙看下这个脚本软件是不是木马病毒

飘渺飞扬 发表于 2019-10-20 03:08

求坛友帮忙看下这个脚本软件是不是木马病毒

求坛友帮忙看下这个脚本软件是不是木马病毒，或者有没有后门啥的，看下这个软件会不会盗QQ 密码什么之类的
WIN10自带的安全中心显示检测到严重威胁Trojan:Win32/Detplock、Trojan:Win32/Conteban.B!ml，一个是早上检测到的，一个是刚刚检测到的
先谢谢各位，感恩{:1_893:}

链接: https://pan.baidu.com/s/1m8jWu8F9sOJdSK3q4zAojg&shfl=shareset 提取码: xcee
附件下载地址

wtyseu 发表于 2019-10-20 08:39

上传哈勃分析一下就行了

TFshopte 发表于 2019-10-20 09:17

https://habo.qq.com/file/showdetail?pk=ADcGZ11lB2AIOVs8U2I%3D#process

LC_Rose 发表于 2019-10-20 09:50

此压缩包分析结果为轻度风险具体信息如下
进程行为
创建本地线程
枚举进程

文件行为
创建文件
创建可执行文件
查找文件
删除文件
复制文件
修改文件内容

网络行为
连接指定站点
打开HTTP连接
建立到一个指定的套接字连接
发送HTTP包
打开HTTP请求
按名称获取主机地址

其他行为
直接调用系统关键API
检测自身是否被调试
创建互斥体
创建事件对象
打开互斥体
查找指定窗口
窗口信息
获取TickCount值
搜索kernel32.dll基地址
调整进程token权限
打开事件
直接操作物理设备
可执行文件签名信息
调用Sleep函数
隐藏指定窗口
获取光标位置
可执行文件MD5
直接获取CPU时钟
VMWare特殊指令检测虚拟机

关键行为
直接调用系统关键API
Index = 0x0000009A, Name: NtQueryInformationProcess, Instruction Address = 0x01224BAD
Index = 0x000000E5, Name: NtSetInformationThread, Instruction Address = 0x01224BAD
Index = 0x000000A3, Name: NtQueryObject, Instruction Address = 0x005B96CE
Index = 0x00000019, Name: NtClose, Instruction Address = 0x00422756

获取TickCount值
TickCount = 227478, SleepMilliseconds = 10.
TickCount = 227494, SleepMilliseconds = 10.
TickCount = 227510, SleepMilliseconds = 10.
TickCount = 227525, SleepMilliseconds = 10.
TickCount = 227541, SleepMilliseconds = 10.
TickCount = 227556, SleepMilliseconds = 10.
TickCount = 227572, SleepMilliseconds = 10.
TickCount = 227588, SleepMilliseconds = 10.
TickCount = 227603, SleepMilliseconds = 10.
TickCount = 227619, SleepMilliseconds = 10.
TickCount = 227635, SleepMilliseconds = 10.
TickCount = 227650, SleepMilliseconds = 10.
TickCount = 227666, SleepMilliseconds = 10.
TickCount = 227681, SleepMilliseconds = 10.
TickCount = 230687, SleepMilliseconds = 3000.

直接获取CPU时钟       
EAX = 0x92da689e, EDX = 0x000000b9
EAX = 0x92da68ea, EDX = 0x000000b9
EAX = 0x92da6936, EDX = 0x000000b9
EAX = 0x92da6982, EDX = 0x000000b9
EAX = 0x92da69ce, EDX = 0x000000b9
EAX = 0x92da6a1a, EDX = 0x000000b9
EAX = 0x92da6a66, EDX = 0x000000b9
EAX = 0x92da6ab2, EDX = 0x000000b9
EAX = 0x92da6afe, EDX = 0x000000b9
EAX = 0x92da6b4a, EDX = 0x000000b9
ps：以上来源腾讯哈勃分析系统

飘渺飞扬 发表于 2019-10-20 11:06

本帖最后由 飘渺飞扬 于 2019-10-20 11:12 编辑

LC_Rose 发表于 2019-10-20 09:50
此压缩包分析结果为轻度风险具体信息如下
进程行为
创建本地线程

谢谢楼上各位，菜鸡看不懂分析报告额，这种轻度风险的是误报吗？？？
@wtyseu @TFshopte @LC_Rose

LC_Rose 发表于 2019-10-20 11:39

飘渺飞扬 发表于 2019-10-20 11:06
谢谢楼上各位，菜鸡看不懂分析报告额，这种轻度风险的是误报吗？？？
@wtyseu @TFshopte @LC_Rose

emmmmm我觉得这种程度的风险没什么问题的，轻度风险的原因可能是因为这个程序涉及到了删除文件复制文件修改文件内容和调用系统关键api之类的有关吧

飘渺飞扬 发表于 2019-10-20 16:42

LC_Rose 发表于 2019-10-20 11:39
emmmmm我觉得这种程度的风险没什么问题的，轻度风险的原因可能是因为这个程序涉及到了删除文件复制文件修 ...

好的，谢谢

查看完整版本: 求坛友帮忙看下这个脚本软件是不是木马病毒