好友
阅读权限10
听众
最后登录1970-1-1
|
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子! 病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途! 禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
66吾爱币
有没有人知道这是什么蠕虫病毒,专门感染EXE,以下是一个被感染的下载地址:https://nos.netease.com/ysf/98538f42cf55f813d1b5b9582f5bd37c.exe
有个特点,路径带有Windows或Microsoft这两个目录下面的exe就不去感染,但下面列出的系统文件路径依旧会感染。
被感染的exe体积会增大300-800KB区间,对比了一下十六进制,发现病毒摆在文件尾部,在开头篡改了程序入口。
还会疯狂发起http连接境外IP:80端口,有很多IP每隔几秒就发起一次。
有人知道这个病毒的名称吗,我想要专杀工具,修复已经被感染的EXE.
会感染好多系统exe,我列出了其中一部分:
# 各进程系统默认完整路径(64位Windows)
## 1. DiagnosticHub.Standard.Service.exe
`C:\Windows\System32\DiagnosticHub.Standard.Service.exe`
## 2. perfhost.exe(32位性能宿主)
`C:\Windows\SysWOW64\perfhost.exe`
## 3. snmptrap.exe
`C:\Windows\System32\snmptrap.exe`
## 4. aspnet_state.exe(.NET Framework 4.8 64位)
`C:\Windows\Microsoft.NET\Framework64\v4.0.30319\aspnet_state.exe`
32位版本:
`C:\Windows\Microsoft.NET\Framework\v4.0.30319\aspnet_state.exe`
## 5. TieringEngineService.exe
`C:\Windows\System32\TieringEngineService.exe`
## 6. vds.exe (虚拟磁盘服务)
`C:\Windows\System32\vds.exe`
## 7. vssvc.exe (卷影副本)
`C:\Windows\System32\vssvc.exe`
## 8. wmiapsrv.exe (WMI性能适配器)
`C:\Windows\System32\wmiapsrv.exe`
## 9. msdtc.exe (分布式事务协调器)
`C:\Windows\System32\msdtc.exe`
## 10. dllhost.exe(COM宿主,两个版本)
64位:`C:\Windows\System32\dllhost.exe`
32位:`C:\Windows\SysWOW64\dllhost.exe`
## 11. wmiprvse.exe(WMI宿主)
64位:`C:\Windows\System32\wmiprvse.exe`
32位:`C:\Windows\SysWOW64\wmiprvse.exe`
|
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|