吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 2969|回复: 12
收起左侧

朋友打开了一个软件,然后哈勃分析出很多行为,怎么清理干净

[复制链接]
wuguodong 发表于 2022-8-14 13:39
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
https://habo.qq.com/file/showdetail?pk=ADcGbl1oB2cIP1s7U2Y%3D

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

ahov 发表于 2022-8-14 20:48
我说,楼上那两位觉得问题不大的是怎么分析判断的

首先,样本通过对一个一个进程遍历字符串对比avp.exe,avp.exe为卡巴斯基主动防御进程,即检测常见防病毒软件

其次,在哈勃报告中出现了._cache_和HD_常见的感染型病毒dropper行为迹象

最后,有个非常关键的行为——
行为描述:        创建系统服务
详情信息:
[服务创建成功]: svchcst, %SystemRoot%\System32\svchost.exe -k "svchcst"
仔细观察,该样本创建了一个调用系统文件svchost.exe近似于系统文件svchost.exe的svchcst服务项,这个行为是绝对不可能出现在正常软件的,像这种行为的仿冒系统,就凭借这个防病毒软件就可以直接当场查杀掉了已经

另外我感到疑惑的是样本形似Synaptics/Synares蠕虫感染型病毒,包括“出品公司”也是写的是“Synaptics”,也存在._cache_的行为,但是HD_一般又是HDrop这款感染型病毒的经典行为

哈勃里面文件被释放在了C:\WINDOWS\system32\Synaptics\Synaptics.exe(就这个行为的路径也能知道这个样本绝对有问题),而一般的Synaptics/Synares蠕虫感染型病毒一般释放在C:\ProgramData\Synaptics\Synaptics.exe,但是哈勃里面还出现了此类路径:C:\Documents and Settings\,说明运行机器为Windows XP操作系统而非以上,不知道有没有对该样本文件释放和路径问题造成影响
luliucheng 发表于 2022-8-14 17:35
出品公司:Synaptics
你 朋 友 完 了
这是Synaptics病毒,论坛里中过的人不计其数,楼主多学学吧。怎么杀掉请搜索论坛之前的文章。
boshugege 发表于 2022-8-14 14:15
这个……问题似乎不是特别大的样子 可以说说这个软件是用来干什么的吗
jyjjf 发表于 2022-8-14 14:27
用虚拟机运行一阵看看
ahov 发表于 2022-8-14 14:35
这个绝对是病毒,可能不太好搞,可能是感染型病毒
flyjerry 发表于 2022-8-14 14:46
哈勃是个杀毒软件?
outputlog 发表于 2022-8-14 15:38
flyjerry 发表于 2022-8-14 14:46
哈勃是个杀毒软件?

是腾讯的在线查毒网站
Asra 发表于 2022-8-14 15:42
很像木马,有虚拟机探测,释放可疑exe文件,创建系统服务
莫忘初 发表于 2022-8-14 16:07
这个分析结果感觉问题不大,具体得看软件的功能需不需要用到这些功能
qytndnkj 发表于 2022-8-14 16:52
学习使我快乐
svip6868 发表于 2022-8-14 16:55
这就完事了???也没说清楚啊。
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 12:09

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表