本帖最后由 ahov 于 2022-1-14 10:09 编辑
LiuXing JM.exe那个是病毒
Farfli Zegost僵尸网络家族
应该是有远控功能的
火绒主防应该可以拦截(中了以后日志里面应该会有僵尸网络病毒的防护的吧?你去看看,显示的操作进程命令行应该是C:\Windows\System32\gVnfvn.exe -auto)
请在火绒IP黑名单中添加以下IP:154.23.179.199、103.145.87.162
IP协议控制中:154.23.179.199:8085 (TCP)、103.145.87.162:1688 (TCP)
使用管理员权限Cmd,删除名为Vnfgvnf Wofwo的服务,
病毒的操作信息为:[Asm] 纯文本查看 复制代码 service_path:
C:\Windows\System32\gVnfvn.exe -auto
service_name:
Vnfgvnf Wofwo
然后使用https://bbs.huorong.cn/thread-18575-1-1.html扫描一遍
使用火绒剑右上角文件按钮检查是否有C:\Windows\SysWOW64\WSkcsk.exe、C:\Windows\SysWOW64\Delete00.bat、C:\Windows\System32\gVnfvn.exe、C:\Windows\SysWOW64\gVnfvn.exe、C:\Windows\System32\WSkcsk.exe、C:\Windows\System32\Delete00.bat、C:\tmpz_rerm#awijalkgj.exe,有则删除,无则忽略
那个Delete00.bat好像是病毒用来自我删除的bat批处理文件
样本Ioc信息:
MD5:d860dbc91f83aa427d891d444f183cbf
SHA-1:9a0b17830f3989298287c11a3283d02a12d7b446
SHA-256:eeaa26d940045ed344ff4a61a6aa7c35e9b4c6d0008c072c43bb507ddc6d0f1f
经过查询后发现有同源样本,Ioc信息:
1.
MD5:729686765a7bfb675de78394a2c572d4
SHA-1:5de42e4d7288a923aee46589e7e3125f0cf36a5e
SHA-256:3e2e82d539faba3016b02ea790ace5f38c0d872bb1488ce5089c8a8c998369d9
2.
MD5:3c4c3ff0147b73573ebefd84fcdba645
SHA-1:461d5ad3b7ecd2c4a8c10104cd880f8ac4f3c97e
SHA-256:079f5e554c3d7b250638d2a5e4a39eeb47a083a059ed63465059f889c73cb7f1
同源样本衍生物Ioc信息:
MD5:a0d57388833224f10803610d630905b1
SHA-1:631730ae4d01344b1659219812d038150a827369
SHA-256:82f7a81d5f580b4141dbdf6a3e80b69952e9fdf6d44916320d74909d0ffc8910
经过查询,直接访问病毒C&C服务器(154.23.179.199)目前仍然依然会有两个文件的,分别名为LiuXing JM.exe和Rocket JM 12.5.exe,样本大小相同,经过验证发现哈希值相同,同属同一个样本,都是你中到的那一个,下载次数加起来一共过百(可能会有很大一批是从吾爱这里这边过去下载的增加了下载量的)
|