V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
V2EX 提问指南
balabala2
V2EX  ›  问与答

别人发给我一个文件,不知道是不是一个免杀的木马病毒?

  •  
  •   balabala2 · 2016-11-22 12:57:46 +08:00 · 2468 次点击
    这是一个创建于 2905 天前的主题,其中的信息可能已经有所发展或是发生改变。

    前几天收到一个陌生网友发给我一个文件,解压打开之后发现全是乱码,我怀疑这个是文件是木马病毒,但是通过在线扫描这个文件,却没有发现任何问题,不知道是我的姿势不对,还是这个文件本身就没有问题?

    下图是 virustotal 在线扫描的截图:

    想请教下 V2 的大神帮忙看下,先谢谢啦!

    文件链接如下(Base64): aHR0cHM6Ly9kcml2ZS5nb29nbGUuY29tL29wZW4/aWQ9MEI5VHhzN2d4Ty00OGNsVlplamMyUVVKNE5Waw==

    10 条回复    2016-11-23 11:05:27 +08:00
    mapleray
        1
    mapleray  
       2016-11-22 13:18:54 +08:00
    https://www.hybrid-analysis.com/

    https://malwr.com

    你可以去虚拟机先解压,把里面的 dll 和其它文件再上传到 vt 看下,是黑是白 vt 至少能检出来
    spwei
        2
    spwei  
       2016-11-22 13:22:54 +08:00
    为什么要打开陌生网友给你的文件呢?
    balabala2
        3
    balabala2  
    OP
       2016-11-22 13:26:33 +08:00
    @spwei 看到是 zip 文件,就压缩看了下,发现里面的乱码,才反应过来。
    balabala2
        4
    balabala2  
    OP
       2016-11-22 13:28:48 +08:00
    @mapleray 先谢谢啦,我再试试你发来的网址,再扫描下。
    coolcfan
        5
    coolcfan  
       2016-11-22 13:49:29 +08:00
    同时给三四家国内外的杀毒厂商上报可疑,看他们如何回复
    wildcat007
        6
    wildcat007  
       2016-11-22 18:30:05 +08:00
    虚拟机已经测试,该文件很有问题啊!

    虚拟机已经测试,该文件很有问题啊!

    虚拟机已经测试,该文件很有问题啊!

    不要打开!!

    不要打开!!

    不要打开!!
    balabala2
        8
    balabala2  
    OP
       2016-11-23 10:33:24 +08:00
    @wildcat007 感谢帮忙测试,不知道这个文件是如何感染(激活机制是什么?)的,我只是用 7-zip 解压过,不过没有执行文件。

    @fengxing 感谢帮忙提交这个文件。
    wildcat007
        9
    wildcat007  
       2016-11-23 10:41:41 +08:00
    文件解压后有一个快捷方式 [伪快捷方式, exe 文件] ,点击这个伪快捷方式后会释放一个远控文件到 D:/Music/vm.exe 。一个 dos 的什么东西具体没看。
    看样子应该是种植远控马。
    balabala2
        10
    balabala2  
    OP
       2016-11-23 11:05:27 +08:00
    @wildcat007 谢谢,我用 7-ZIP 解压看是乱码(可能我电脑的系统是英文造成的),就没有执行程序。
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   1262 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 23:26 · PVG 07:26 · LAX 15:26 · JFK 18:26
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.