记一次中后门木马病毒
本帖最后由 Tony丶W 于 2021-1-8 21:23 编辑分享今天电脑中后门病毒事件...{:301_1005:} {:301_977:}
本人技术有限,第一次在吾爱上发贴,若有些地方分析不对,望请大佬们不吝指正,献丑了,谢谢!
是这样的.下午四点多我无意打开抓包软件,然后莫名发现有一个进程名字很奇怪叫dsadsa.exe (其实今天我已经发现了两次了,第二次才觉得不对劲)
然后就立马查看它在跑什么流量,一看在和一个佛山ip发送tcp连接还是关闭的,并还在重传。我立马发现不对劲了,什么乱七八糟的程序在跑啊,然后可疑的定位文件并顺手用火绒扫描一下,一扫卧槽是个后门?心想呢吗怎么中的后门?火绒一点提示都没有啊!
然后查看下文件信息,嗯?今天10点创建运行的,10点中的毒,但我没印象我打开了什么东西中毒啊!然后用火绒快速扫描杀毒,一杀立马看到一个程序我顿时明白了,原来是这个文件今天早上有需求在网上搜了下打开了下,当时火绒也没报毒啊!!(回家再用火绒对着病毒扫一次也不报毒)
(回家win10扫描的,显示没毒!)
弄到这里我已经对火绒心灰意冷了,果然杀毒能力真的很弱火绒信不过啊!贴一下火绒版本!
这个时候已经快到下班时间了,心想不行得加班看看这是什么流弊东西?然后打开云沙箱进行分析,结果这个时候云沙箱傻掉了。(估计软件加了虚拟机检测,所以沙箱傻掉了)
沙箱地址:https://s.threatbook.cn/report/file/cb944cdb13c36d7c5dee96d453f4d92e3a94fbb3455bc4912b12b92a079fb539/?env=win7_sp1_enx64_office2013
哎,还是自己动手吧,自己分析后发现,原来这个程序是通过搜狗输入法然后再进行创建后门程序,这比直接释放病毒高明,所以导致火绒当时没发现异样,同时我发现云沙箱里的360和卡巴斯基也没发现这个是病毒,唯独江民坚挺了!心里默默对王江民杀软大哥肃然起敬,不愧为当时的一哥!
楼下很多本地都检测出,但火绒当时的win7真的一点提示都没有,后面我手动扫描才会报。换另外一个本地的win10不会报。两个我都开了"文件发生所有操作时扫描,占用较多系统资源" 一样没有任何报毒。
幸好这个后门是18年的程序,母鸡服务端估计已经挂了,没跑什么流量没泄露什么信息,没啥损失。
最后,建议大家选择一些可靠的杀软吧!还有网上这些网站下载的东西需要谨慎,这个网站贴在这里了大家注意了
病毒样本:
https://wwa.lanzouj.com/iZFgok6ekte
刚解压出来1秒就杀了,跟撸主一样的版本,只不过我没装某狗... https://attach.52pojie.cn/forum/202101/08/201626yruuebde5rrbhr44.png
想知道楼主这是用的什么工具查的ip地址到底是哪个地区的,还有看TCP状态! 这是啥软件 只要有网络有杀不完的毒 {:1_937:}{:1_937:}{:1_937:}刚试了下虽然解压不出来但是火绒直接扫 确实没有报毒 win7 64 本帖最后由 loa123 于 2021-1-9 10:49 编辑
此时应该 @火绒安全实验室 出来解释下哈~:lol
PS:不过本人倒是挺信任火绒的,防火墙做的不错,至于杀毒么,只有防不住的毒,没有万能的杀毒软件。总归要给人升级的机会哈,总比360打着安全的名义,结果行流氓之事的好。 卡巴斯基报毒
确实,动不动就会中一些稀奇古怪的病毒…
但是总有人说“杀毒软件无用”…
之前学校的电子白板,有个班的电脑上不去各种杀软的官网还不停地弹广告…
后面太绝望了就直接重装系统…
也希望各种杀软能再强大一些吧… 火绒应该请你去当首席技术员!:lol 邪恶海盗 发表于 2021-1-8 20:44
刚解压出来1秒就杀了,跟撸主一样的版本,只不过我没装某狗...
我在本地win10也是没装的,但用火绒扫是不报毒的。 Tony丶W 发表于 2021-1-8 20:46
我在本地win10也是没装的,但用火绒扫是不报毒的。
这么奇怪??? 解压不出来哈哈,虽然火绒查杀能力确实差了些,但是这个真的能拦得住QWQ
卡巴斯基,解压就报了。{:301_999:}