朋友打开了一个软件,然后哈勃分析出很多行为,怎么清理干净
https://habo.qq.com/file/showdetail?pk=ADcGbl1oB2cIP1s7U2Y%3D 我说,楼上那两位觉得问题不大的是怎么分析判断的首先,样本通过对一个一个进程遍历字符串对比avp.exe,avp.exe为卡巴斯基主动防御进程,即检测常见防病毒软件
其次,在哈勃报告中出现了._cache_和HD_常见的感染型病毒dropper行为迹象
最后,有个非常关键的行为——
行为描述: 创建系统服务
详情信息:
[服务创建成功]: svchcst, %SystemRoot%\System32\svchost.exe -k "svchcst"
仔细观察,该样本创建了一个调用系统文件svchost.exe近似于系统文件svchost.exe的svchcst服务项,这个行为是绝对不可能出现在正常软件的,像这种行为的仿冒系统,就凭借这个防病毒软件就可以直接当场查杀掉了已经
另外我感到疑惑的是样本形似Synaptics/Synares蠕虫感染型病毒,包括“出品公司”也是写的是“Synaptics”,也存在._cache_的行为,但是HD_一般又是HDrop这款感染型病毒的经典行为
哈勃里面文件被释放在了C:\WINDOWS\system32\Synaptics\Synaptics.exe(就这个行为的路径也能知道这个样本绝对有问题),而一般的Synaptics/Synares蠕虫感染型病毒一般释放在C:\ProgramData\Synaptics\Synaptics.exe,但是哈勃里面还出现了此类路径:C:\Documents and Settings\,说明运行机器为Windows XP操作系统而非以上,不知道有没有对该样本文件释放和路径问题造成影响 出品公司:Synaptics
你 朋 友 完 了
这是Synaptics病毒,论坛里中过的人不计其数,楼主多学学吧。怎么杀掉请搜索论坛之前的文章。 这个……问题似乎不是特别大的样子 可以说说这个软件是用来干什么的吗 用虚拟机运行一阵看看 这个绝对是病毒,可能不太好搞,可能是感染型病毒 哈勃是个杀毒软件? flyjerry 发表于 2022-8-14 14:46
哈勃是个杀毒软件?
是腾讯的在线查毒网站 很像木马,有虚拟机探测,释放可疑exe文件,创建系统服务 这个分析结果感觉问题不大,具体得看软件的功能需不需要用到这些功能 学习使我快乐 这就完事了???也没说清楚啊。
页:
[1]
2