好友
阅读权限10
听众
最后登录1970-1-1
|
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
50吾爱币
一个朋友耍盗版steam法环,本体文件steamhost.exe是一个PDD上面的steam破解助手破解(激活工具)(会下载一个程序:svchost.exe并且运行,用腾讯哈勃查说没问题)火绒没有拦截报毒,但是运行完了自动删除本身的exe。用火绒剑查询到这个应用删改了很多的系统注册表,感觉很不放心,为什么不报毒。求大佬鉴定下这个行为是否安全,小白看不懂搜来的信息QWQ,希望能说一下危害。
用virscan说是挖矿病毒,微步上说是steamunlock
用VIRUSTOTAL查行为,发现删除了很多关于windows安全的文件已删除的文件- C:\ProgramData\Microsoft\Windows\WER\Temp\WER211F.tmp.WERInternalMetadata.xml
- C:\ProgramData\Microsoft\Windows\WER\Temp\WER2287.tmp.csv
C:\ProgramData\Microsoft\Windows\WER\Temp\WER22E5.tmp.txt
C:\Windows\System32\spp\store\2.0\cache\cache.dat
C:\ProgramData\Microsoft\Windows\WER\Temp\WER532C.tmp.WERInternalMetadata.xml
C:\ProgramData\Microsoft\Windows\WER\Temp\WER532E.tmp.csv
C:\ProgramData\Microsoft\Windows\WER\Temp\WER533E.tmp.txt
C:\ProgramData\Microsoft\Windows\WER\Temp\WER1817.tmp.WERInternalMetadata.xml
C:\ProgramData\Microsoft\Windows\WER\Temp\WER196E.tmp.csv
C:\ProgramData\Microsoft\Windows\WER\Temp\WER1A0C.tmp.txt
C:\ProgramData\Microsoft\Windows\WER\Temp\WER3013.tmp.WERInternalMetadata.xml
C:\ProgramData\Microsoft\Windows\WER\Temp\WER3015.tmp.csv
C:\ProgramData\Microsoft\Windows\WER\Temp\WER3026.tmp.txt
%USERPROFILE%\AppData\Local\Microsoft\Windows\INetCache\IE\KLT1I0ZU\update50[1].xml
C:\ProgramData\Microsoft\Windows\WER\Temp\WER243C.tmp.WERInternalMetadata.xml
C:\ProgramData\Microsoft\Windows\WER\Temp\WER2507.tmp.csv
C:\ProgramData\Microsoft\Windows\WER\Temp\WER2547.tmp.txt
C:\ProgramData\Microsoft\Windows\WER\Temp\WER299C.tmp.WERInternalMetadata.xml
C:\ProgramData\Microsoft\Windows\WER\Temp\WER299D.tmp.csv
C:\ProgramData\Microsoft\Windows\WER\Temp\WER29BD.tmp.txt- Processes Tree(进程树)
- 1512 - C:\Users\user\Desktop\Steamhost.exe
- 1960 - %SAMPLEPATH%\Steamhost.exe
- 2836 - C:\Windows\System32\wuapihost.exe
- 2980 - %WINDIR%\explorer.exe
- 620 - C:\Windows\System32\svchost.exe
- 2980-%WINDIR%\explorer.exe
- 620 -C:\Windows\System32\svchost.exe
注:其中620进程下载svchost.exe程序
文件链接:链接:https://pan.baidu.com/s/1GJZzPUdvxHfkQLKVD9IMUg?pwd=52pj 提取码:52pj |
最佳答案
查看完整内容
微步报告
https://s.threatbook.com/report/file/1bcdaec16c2f9b283fa952bdafc524ae193b043ac9368eec9100a6cf0ef6940c
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
发表于 2023-5-7 15:46
|
发表于 2023-5-8 16:45
