欢迎光临
我们一直在努力

VIRMACH抢购脚本里的139.exe确实有意思

暗中观察牛人:

看看https://www.zalou.cn/775194-1-1.html

Opswat Metadefender:https://metadefender.opswat.com/results/file/bzIwMTIwMTF5Y1ItLWdfN2tLanRPZGhFaU8/regular/multiscan?lang=en
微步:https://s.threatbook.cn/report/file/8ff2e48da213d039b917af0acacfe09ad49bf44211857d0034a0899826d3227e/?env=win7_sp1_enx64_office2013
anyrun:https://app.any.run/tasks/81cd47da-2707-4d08-b7d4-6adecec68c66/
(anyrun检测到反沙箱,没跑出行为)

简单描述行为:
GetAdaptersAddresses 检测网卡,如果发现虚拟机网卡就停止运行(anyrun就卡在这里了)
GetSystemInfo 获取系统信息,可能和检测虚拟机有关
休眠自己110614秒,让沙箱类工具超时
创建系统服务,加入自启动
连接远端UDP 31.44.184.139:50078

还好我是放windows sandbox里运行的,要不主机也遭殃了。
样本已经提交给网络安全技术中心了。
这段时间会不会被抓个典型就不知道了。

藏镜人牛人:
是的 ,有意思

胡萝卜牛人:
一下载好,诺顿就给杀了
VIRMACH抢购脚本里的139.exe确实有意思-图1

mix牛人:
什么情况,有人在LOC投木。马?

abszy牛人:
抓肉鸡 准备留个后门 以后想搞啥搞啥

llmwxt牛人:
我查了,没有所说的文件,火绒也没有报过毒

这是病毒看我是小白,所以懒得盗我资料?

送子神医牛人:


我查了,没有所说的文件,火绒也没有报过毒

这是病毒看我是小白,所以懒得盗我资料?

不是说是要定时启动的吗?刚用不会下载病毒,要过几天才会中毒。
这死马玩意儿,竟然坑MJJ

llmwxt牛人:


不是说是要定时启动的吗?刚用不会下载病毒,要过几天才会中毒。
这死马玩意儿,竟然坑MJJ …

我几天前已经打开过了啊

现在我已经删除了,是不是以后就不会有了呢!

hcyme牛人:
已经半身不遂

赞(0) 打赏
未经允许不得转载:砸漏网 » VIRMACH抢购脚本里的139.exe确实有意思

评论 抢沙发

评论前必须登录!

 

APP开发 更专业 更方便

AD赞助联系我们

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

微信扫一扫打赏