学校机房下的模拟卷，U盘刚插上火绒就报毒处理了

baixiaotao

学校机房下的模拟卷，U盘刚插上火绒就报毒处理了 要期末考试了 想用又不敢 有分析过的吗 具体什么影响

IT_K

用虚拟机跑就行了啊   不怕中毒   学校机房有不带毒的吗？   整个一大病毒培养皿

EckelLighting

来源:https://malwarefixes.com/threats/virus-win32begseabug-a/#
病毒：Win32 / Begseabug.A是由Microsoft安全软件识别的威胁。这是针对Windows核心系统以完成其任务的典型恶意软件。病毒：Win32 / Begseabug.A进入系统后，可以执行一系列命令。它将收集系统设置，Windows版本，网络配置等数据。收集的数据将发送到远程攻击者进行分析。

威胁行为
系统将感染病毒：Win32 / Begseabug.A
有效载荷
为了在Windows启动时自行运行，病毒：Win32 / Begseabug.A将在系统文件下复制自身。然后，创建注册表项以在每次Windows启动时调用文件。除此之外，该恶意软件还会将非恶意文件丢弃到受感染PC的各个文件夹中。

病毒：Win32 / Begseabug.A偶尔连接到远程主机以执行以下任务：

通知攻击者新感染
从受感染的计算机发送收集的数据
下载并执行其他文件，包括木马程序的更新版本
接受来自远程攻击者的命令
病征
该恶意软件没有明显的症状。病毒：Win32 / Begseabug.A在后台静默运行。但是，Microsoft安全软件可能会警告您该木马的存在。

来源:https://www.microsoft.com/en-us/wdsi/threats/malware-encyclopedia-description?Name=Virus:Win32/Begseabug.A
威胁行为
安装
这种威胁可以在您的PC上创建文件，包括：

％ProgramData％ \ microsoft \ network \ downloader \ qmgr1.dat
<系统文件夹> \ qqsse.dll
<系统文件夹> \ system.exe
它可以在安装过程中进行各种注册表更改，包括：

在子项中： HKLM\Software\Google\Update
设置值：“ LastCodeRedCheck ”
和数据：“ 0x00000bc8ce82ba70 ”

文件感染

这种威胁通过修改PC上的文件来传播。它可以通过多种方式做到这一点，包括：

将其恶意代码插入干净的文件。
使用其自己的恶意代码覆盖干净文件的全部或部分。
在恶意文件之前或之后添加恶意代码。
该恶意软件使用代码注入使其更难检测和删除。它可以将代码注入正在运行的进程中。

有效载荷
这种威胁试图阻止某些服务在您的PC上运行，包括：

PolicyAgent
附加信息
创建一个互斥锁

这种威胁可以在您的PC上创建一个或多个互斥锁。例如：

G{B5665124-2B19-40e2-A7BC-B44321E72C4B}
G{D19BAF17-7C87-467E-8D63-6C4B1C836373}
它可能将此互斥锁用作感染标记，以防止在您的PC上运行多个威胁。

此恶意软件描述是使用文件SHA1 01f18800bc2a8822cc823de61b13ee8c23a24b5e的自动分析发布的。

火绒安全实验室

您好，根据日志看您中的是感染性病毒，需要清空信任区，调高文件监控模式，全盘查杀，重启电脑。在查杀过程中不要尽量关闭不必要的程序，如果可以  最好在联网的安全模式下查杀。

涛之雨

老蠕虫了。。。
看样子应该又是隐藏文件夹然后病毒复制自身，把自己名字重命名成文件夹名字，
双击“文件夹名字.exe”的时候又会再去感染其他盘。。。。
火绒拦截掉了就没问题了，
此外看一下U盘根目录下有没有autorun.inf记事本打开，看看里面是不是有启动项。
如果有的话大概率是病毒。。。

惠枫和畅

IT_K 发表于 2020-12-22 08:26
用虚拟机跑就行了啊   不怕中毒   学校机房有不带毒的吗？   整个一大病毒培养皿

病毒培养皿...精辟

smxslkj

不是病毒，火绒添加信任

刀大喵

机房？ 不是病毒库吗

ghoob321

如果有的话大概率是病毒。。

ZeroWong1919

IT_K 发表于 2020-12-22 08:26
用虚拟机跑就行了啊   不怕中毒   学校机房有不带毒的吗？   整个一大病毒培养皿

不带还原卡之类的机房，几年前的打印店可太给力了。

wysyz

公用机大概率都带毒