某加速器上号器携带的病毒

zwy0724

病毒样本地址：https://wws.lanzouj.com/iGD07jijpsj
密码52pojie



这个是淘宝上买的某加速器，采用上号器登录

但是启动之后，我桌面上的excel表格全部被“格式化”了，启动就提示加载宏错误

然后我的c盘本来还剩二十多g，瞬间只有70mb了

希望大佬们分析分析，或者有没有什么解决办法

Bool

Hello,

通过Bitdefender的报毒粗略判断是Backdoor（后门）

描述露出了马脚，但暂时不能确定是Synaptics病毒。



上在线沙箱&Vt看一下。

VT:  56/70   https://www.virustotal.com/gui/file/d8f7ce04076dd7989d608d1d157ec803eccd325a8e4abfe41334fb7b59a57f62/detection
且大多报毒名均为“Backdoor.Win32.DarkKomet”（此处采用卡巴斯基的标准报法），完全确定为“DarkKomet”（“暗黑彗星”木马），
具体介绍见    https://guanjia.qq.com/news/n3/2426.html  （别听鹅厂吹牛逼）

Threatbook:   https://s.threatbook.cn/report/file/d8f7ce04076dd7989d608d1d157ec803eccd325a8e4abfe41334fb7b59a57f62/?env=win7_sp1_enx86_office2013













AnyRun 由于文件过大无法上传QAQ

处置建议&TIPS：

[Asm] 纯文本查看 复制代码

删除自启动注册表项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Synaptics Pointing Device Driver
删除文件
C:\tmp3ijdtl\._cache_dd助手-每次启动都点我.exe
%HOMEPATH%\AppData\Local\Temp\Og4p2KL8.ico
%HOMEPATH%\AppData\Local\Temp\LafL4NOn.ico
%HOMEPATH%\AppData\Local\Temp\Ms3NIkhh.ico
%HOMEPATH%\AppData\Local\Temp\39UrZ8Vi.ico
%HOMEPATH%\AppData\Local\Temp\IjF2FruU.ico
%HOMEPATH%\AppData\Local\Temp\gUh3s85V.ico
%HOMEPATH%\AppData\Local\Temp\Esm6Ets9.ico
%HOMEPATH%\AppData\Local\Temp\pqro2rfk.ico
C:\onerun.bat
C:\tmp3ijdtl\._cache_dd助手-每次启动都点我.exe

（By THREATBOOK）

1、换个杀软，卡巴斯基相当香
2、别人叫你关杀软的话，别理他
3、可疑文件不双击，可跑VT、Threatbook、Anyrun
4、开UAC提权
5、别碰外挂和淘宝上卖的破解货，论坛找很香
6、宏的问题，应该是病毒在office当中感染了宏吧
7、C盘的问题，可以用杀软扫一遍，再用CCleaner看一下？实在不行的话搜一下那个特别大的文件，或者看看修改日期为你感染那时的文件？

由此案例可见，是个杀软就能杀，
别人叫你关杀软
理都别他理他
上淘宝，然后投诉卖家！
（突然押韵了呢）

该木马运行后不仅记录并上传受害者输入的密码、摄像头信息等隐私内容，还可根据服务端指令执行下载文件、启动程序、运行脚本等控制操作。同时，攻击者还可用被控制的电脑作跳板，对其它目标发起DDoS攻击。

（莫名害怕），但又在行为看来，反又不太像Backdoor了



新人第一次发病毒救援，
如有不妥之处，
还望管理人员提醒！


突然发现这是一个双重毒


又是Backdoor，还被Synaptics感染了。。。

zwy0724

Bool 发表于 2020-12-20 15:16
Hello,

通过Bitdefender的报毒粗略判断是Backdoor（后门）

感谢大佬！

huangxinwanl

我已经用了。
怎么办？？？话说有没有安全点的上号器？

hqhq1972

有病毒敢用吗