這是一個有趣的樣本,它的圖示被做成跟資料夾圖示一模一樣
讓很多人在不經意的情況下執行,執行後會試圖關閉安全軟體
或其他不相關軟體的process,是個早期典型的KillAV
從KIS的結果來看,結果報的很正確
行為類似於木馬!
提示可能是一個危險軟體,且不具任何數位簽章
試圖進行直接記憶體存取
程式行為類似於木馬
這張圖其實不重要
不過平常如果發生行為誤報,可以直接加入排除
由於是灰鴿子麻,當然要來看一下主控端位置
這裡我使用COMODO FireWall 3.5來檢查
CFT裡我直接放行行為讓它連線,它會在背景調用iexplorer.exe作為後門管道
看一下他的IP位置
位置應該在大陸徐州
沒有留言:
張貼留言