疑似病毒

sakura-galaxy · 发表于 2020-2-16 18:45

本帖最后由 sakura-galaxy 于 2020-2-16 18:50 编辑

https://www.lanzouj.com/i9epegd
密码52pojie

从某个骗子那里拿到的疑似病毒的外挂

骗子qq 1642613687

大家可以去调戏他

就说买挂,这人卖csgo,pubg的挂

ветер · 发表于 2020-2-16 19:20

本帖最后由 ветер 于 2020-2-16 19:34 编辑

本人新人，无法提供过多帮助。腾讯哈勃分析如下
基本信息

文件名称：	天美.exe
MD5：	9d6383c06836036c580cc72a29c5ce79
文件类型：	EXE
上传时间：	2020-02-16 19:12:44
出品公司：	windows程序
版本：	1.0.0.0---1.0.0.0
壳或编译器信息：	COMPILER:Elan

关键行为

行为描述：	设置特殊文件属性
详情信息：	C:\Documents and Settings\Administrator\Local Settings\Temp\rfthwkym\%temp%\****.exe
行为描述：	设置特殊文件夹属性
详情信息：	C:\Documents and Settings\Administrator\Local Settings\Temporary Internet FilesC:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5C:\Documents and Settings\Administrator\Local Settings\HistoryC:\Documents and Settings\Administrator\Local Settings\History\History.IE5C:\Documents and Settings\Administrator\CookiesC:\Documents and Settings\Administrator\Local Settings\Temp\rfthwkymC:\Documents and Settings\Administrator\IETldCache
行为描述：	直接获取CPU时钟
详情信息：	EAX = 0x9ca5d65f, EDX = 0x000000b8EAX = 0x9ca5d6ab, EDX = 0x000000b8EAX = 0x9ca5d6f7, EDX = 0x000000b8EAX = 0x9ca5d743, EDX = 0x000000b8EAX = 0x9ca5d78f, EDX = 0x000000b8EAX = 0x9ca5d7db, EDX = 0x000000b8EAX = 0x9ca5d827, EDX = 0x000000b8EAX = 0x9ca5d873, EDX = 0x000000b8EAX = 0x9ca5d8bf, EDX = 0x000000b8EAX = 0x9ca5d90b, EDX = 0x000000b8
行为描述：	在桌面创建文件
详情信息：	C:\Documents and Settings\Administrator\桌面\1.ex

帐号		自动登录	找回密码
密码			注册[Register]