下载地址
https://filebin.net/ydu00ao3tnpeg2ix
第一个是个zip文件,当时不小心误点了一下,结果文件突然消失了,好像是windows的defender删除了,但是不知道运行了没有
想问下,这个zip文件是伪装的exe还是自解压的?怎么看是否被defender防御了还是已经开始运行了?
第二个是个文件夹,但是打开属性以后看到路径是exploerer.exephoto.src
百度了下,好象是挖矿软件,要怎么看是否已经运行了?怎么查找和删除其他的文件呢?
-----------------------------------------------------
网友回复:
第一个是zip文件,不是伪装的exe,Windows下有移植Linux下file命令的一个软件,可以下载来安装http://gnuwin32.sourceforge.net/packages/file.htm
是病毒文件无误,我都是关掉杀毒软件才下载成功的
网友回复:
引用:gamekid发表于2021-9-719:01
zip无自动运行
网友回复:
第二个是Windows的自带资源管理器,还带有微软的数字签名。第一个文件下不下来
网友回复:
引用:Slime发表于2021-9-719:07
第二个是Windows的自带资源管理器,还带有微软的数字签名。第一个文件下不下来...
网友回复:
引用:Slime发表于2021-9-719:37
第一个是zip文件,不是伪装的exe,Windows下有移植Linux下file命令的一个软件,可以下载来安装http://gnuwi...
网友回复:
引用:Slime发表于2021-9-719:37
第一个是zip文件,不是伪装的exe,Windows下有移植Linux下file命令的一个软件,可以下载来安装http://gnuwi...
网友回复:
没必要过于紧张,没有解压运行就不会中毒,这里是第一个zip压缩包里两个病毒的沙盒分析结果,对照检查一下吧
引用:Slime发表于2021-9-719:46
没必要过于紧张,没有解压运行就不会中毒,这里是第一个zip压缩包里两个病毒的沙盒分析结果,对照检查一下...
网友回复:
引用:风筝不会飞发表于2021-9-719:56
唔,对照了下进程中的地址,在c盘里看了下,好像没找到对应的文件夹,这应该是安全的吧。另外请教下,服...
网友回复:
这个不是很正常吗你搞个ftp然后允许匿名上传没几天就有人给你传各种乱七八糟的东西了
.avi .scr基本都是挖矿的
网友回复:
引用:Slime发表于2021-9-719:46
没必要过于紧张,没有解压运行就不会中毒,这里是第一个zip压缩包里两个病毒的沙盒分析结果,对照检查一下...
网友回复:
样本有人上传过微步了,贴一下地址
看了下行为是个挖矿的,币种为xmr
处置较为复杂,建议看一下微步右上角的处置建议,要杀的进程比较多,可以用杀软检查一下
网友回复:
引用:Slime发表于2021-9-720:36
不懂这个,我的唯一一台Window服务器就用的wd