记一次中后门木马病毒 - 〖系统安全〗

z3960

级别: 茶馆馆主

发帖: 770867

飞翔币: 207694

威望: 215657

飞扬币: 2511641

信誉值: 8

只看楼主更多操作 0 发表于: 2021-02-13

分享今天电脑中后门病毒事件...{:301_1005:} {:301_977:}本人技术有限，第一次在吾爱上发贴，若有些地方分析不对，望请大佬们不吝指正，献丑了，谢谢！是这样的.下午四点多我无意打开抓包软件，然后莫名发现有一个进程名字很奇怪叫dsadsa.exe （其实今天我已经发现了两次了,第二次才觉得不对劲）

然后就立马查看它在跑什么流量，一看在和一个佛山ip发送tcp连接还是关闭的，并还在重传。我立马发现不对劲了，什么乱七八糟的程序在跑啊，然后可疑的定位文件并顺手用火绒扫描一下，一扫卧槽是个后门？心想呢吗怎么中的后门？火绒一点提示都没有啊！

然后查看下文件信息，嗯？今天10点创建运行的，10点中的毒，但我没印象我打开了什么东西中毒啊！然后用火绒快速扫描杀毒，一杀立马看到一个程序我顿时明白了，原来是这个文件今天早上有需求在网上搜了下打开了下，当时火绒也没报毒啊！！(回家再用火绒对着病毒扫一次也不报毒)

(回家win10扫描的，显示没毒！)

弄到这里我已经对火绒心灰意冷了，果然杀毒能力真的很弱火绒信不过啊！贴一下火绒版本！

这个时候已经快到下班时间了，心想不行得加班看看这是什么流弊东西？然后打开云沙箱进行分析，结果这个时候云沙箱傻掉了。(估计软件加了虚拟机检测，所以沙箱傻掉了)沙箱地址：https://s.threatbook.cn/report/file/cb944cdb13c36d7c5dee96d453f4d92e3a94fbb3455bc4912b12b92a079fb539/?env=win7_sp1_enx64_office2013

哎，还是自己动手吧，自己分析后发现，原来这个程序是通过搜狗输入法然后再进行创建后门程序，这比直接释放病毒高明，所以导致火绒当时没发现异样，同时我发现云沙箱里的360和卡巴斯基也没发现这个是病毒，唯独江民坚挺了！心里默默对王江民杀软大哥肃然起敬，不愧为当时的一哥！楼下很多本地都检测出，但火绒当时的win7真的一点提示都没有，后面我手动扫描才会报。换另外一个本地的win10不会报。两个我都开了"文件发生所有操作时扫描,占用较多系统资源" 一样没有任何报毒。