记一次中后门木马病毒

Tony丶W

分享今天电脑中后门病毒事件...{:301_1005:} {:301_977:}

本人技术有限，第一次在吾爱上发贴，若有些地方分析不对，望请大佬们不吝指正，献丑了，谢谢！

是这样的.下午四点多我无意打开抓包软件，然后莫名发现有一个进程名字很奇怪叫dsadsa.exe （其实今天我已经发现了两次了,第二次才觉得不对劲）




然后就立马查看它在跑什么流量，一看在和一个佛山ip发送tcp连接还是关闭的，并还在重传。我立马发现不对劲了，什么乱七八糟的程序在跑啊，然后可疑的定位文件并顺手用火绒扫描一下，一扫卧槽是个后门？心想呢吗怎么中的后门？火绒一点提示都没有啊！




然后查看下文件信息，嗯？今天10点创建运行的，10点中的毒，但我没印象我打开了什么东西中毒啊！然后用火绒快速扫描杀毒，一杀立马看到一个程序我顿时明白了，原来是这个文件今天早上有需求在网上搜了下打开了下，当时火绒也没报毒啊！！(回家再用火绒对着病毒扫一次也不报毒)



(回家win10扫描的，显示没毒！)



弄到这里我已经对火绒心灰意冷了，果然杀毒能力真的很弱火绒信不过啊！贴一下火绒版本！




这个时候已经快到下班时间了，心想不行得加班看看这是什么流弊东西？然后打开云沙箱进行分析，结果这个时候云沙箱傻掉了。(估计软件加了虚拟机检测，所以沙箱傻掉了)


沙箱地址：https://s.threatbook.cn/report/file/cb944cdb13c36d7c5dee96d453f4d92e3a94fbb3455bc4912b12b92a079fb539/?env=win7_sp1_enx64_office2013




哎，还是自己动手吧，自己分析后发现，原来这个程序是通过搜狗输入法然后再进行创建后门程序，这比直接释放病毒高明，所以导致火绒当时没发现异样，同时我发现云沙箱里的360和卡巴斯基也没发现这个是病毒，唯独江民坚挺了！心里默默对王江民杀软大哥肃然起敬，不愧为当时的一哥！


楼下很多本地都检测出，但火绒当时的win7真的一点提示都没有，后面我手动扫描才会报。换另外一个本地的win10不会报。两个我都开了"文件发生所有操作时扫描,占用较多系统资源" 一样没有任何报毒。











幸好这个后门是18年的程序，母鸡服务端估计已经挂了，没跑什么流量没泄露什么信息，没啥损失。


最后，建议大家选择一些可靠的杀软吧！还有网上这些网站下载的东西需要谨慎，这个网站贴在这里了大家注意了




病毒样本：

https://wwa.lanzouj.com/iZFgok6ekte

邪恶海盗

刚解压出来1秒就杀了,跟撸主一样的版本,只不过我没装某狗...

Jormungand911

想知道楼主这是用的什么工具查的ip地址到底是哪个地区的，还有看TCP状态！

zHiHz

这是啥软件

yfmaha

只要有网络有杀不完的毒

wq630600428

  刚试了下  虽然解压不出来  但是火绒直接扫 确实没有报毒 win7 64

loa123

此时应该 @火绒安全实验室 出来解释下哈~

PS:不过本人倒是挺信任火绒的，防火墙做的不错，至于杀毒么，只有防不住的毒，没有万能的杀毒软件。总归要给人升级的机会哈，总比360打着安全的名义，结果行流氓之事的好。

ErrorsER

卡巴斯基报毒

绫织梦

确实，动不动就会中一些稀奇古怪的病毒…
但是总有人说“杀毒软件无用”…
之前学校的电子白板，有个班的电脑上不去各种杀软的官网还不停地弹广告…
后面太绝望了就直接重装系统…
也希望各种杀软能再强大一些吧…

lguang

火绒应该请你去当首席技术员！

Tony丶W

邪恶海盗 发表于 2021-1-8 20:44
刚解压出来1秒就杀了,跟撸主一样的版本,只不过我没装某狗...

我在本地win10也是没装的，但用火绒扫是不报毒的。

邪恶海盗

Tony丶W 发表于 2021-1-8 20:46
我在本地win10也是没装的，但用火绒扫是不报毒的。

这么奇怪???

kgsw

解压不出来哈哈，虽然火绒查杀能力确实差了些，但是这个真的能拦得住QWQ

gxgyy

卡巴斯基，解压就报了。