- 积分
- 216
- 最后登录
- 2024-2-11
- 精华
- 0
- 阅读权限
- 30
- 主题
- 14
- UID
- 94174
- 帖子
- 375
- PB币
- 2074
- 威望
- 11
- 贡献
- 0
- 技术
- 0
- 活跃
- 494
- UID
- 94174
- 帖子
- 375
- PB币
- 2074
- 贡献
- 0
- 技术
- 0
- 活跃
- 494
|
15F
发表于 2013-12-23 09:57:44
IP属地安徽
|只看该作者
大家小心!
经跟踪,此程序解压后的主程序捆绑有木马,执行PPStream_VIP.exe后,会向以下路径释放不明程序,同时作者也没有在说明中声明它的存在:
c:\Program Files\Brmas\bin\Brmas.exe
该程序会驻留内存。详细的行为经火眼分析如下:
隐藏指定窗口:
85AD02CF-F95D-4f2c-8BCA-BDA546A35E63 : [Brmas.exe]
搜索指定窗口:
["BlueSafeHelperRunLoopMessageWindow" , ""]
IE 代理服务器设置:
关闭IE代理服务
创建互斥体:
"{39FD8F2C-1122-470F-9EB9-7AEA5C623371}*&brmas89ue324sa89fe8edun"
疑似查找浏览器:
QQBROWSER.EXE [QQ浏览器];SOGOUEXPLORER.EXE [搜狗浏览器];MAXTHON.EXE [傲游浏览器];360SE.EXE [360浏览器]
启动指定服务:
Brmas >> \??\%ProgramFiles%\Brmas.sys;\??\%ProgramFiles%\Brmas.sys
检测是否存在指定注册表键:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Uninstall\蓝光软件精选
创建服务:
Brmasce\HarddiskVolume1\WINDOWS\system32\mshtml.dll >> %ProgramFiles%\Brmas.sys;\??\%ProgramFiles%\Brmas.sys
从行为来看,可能是一种广告程序的可能性更大。再次提醒大家小心! |
|