- 积分
- 143
- 最后登录
- 2022-10-8
- 精华
- 0
- 阅读权限
- 20
- 主题
- 17
- UID
- 2512512
- 帖子
- 283
- PB币
- 631
- 威望
- 5
- 贡献
- 0
- 技术
- 1
- 活跃
- 153
- UID
- 2512512
- 帖子
- 283
- PB币
- 631
- 贡献
- 0
- 技术
- 1
- 活跃
- 153
|
发表于 2017-5-27 16:21:40
IP属地山东
|显示全部楼层
本帖最后由 hxl4054 于 2017-6-2 15:59 编辑
近来整理系统盘,发现windows目录下有好几个“随机字符文件名.5位随机扩展名”的文件。删掉后,不定时还会自动出现,当时心里就一惊,擦,裸奔多年,不会中毒了吧。。。
由于以前的都删掉了,截图时只抓到1个样本。
请勿使用多线程下载工具下载论坛附件!
但是CCleaner扫描注册表,还是能看到残存的蛛丝马迹。
请勿使用多线程下载工具下载论坛附件!
简单google了一下,没找到相关的解释。自己动手抓贼吧,祭出Procmon。
重启系统,开机运行Procmon,因为文件名是随机的,所以记录windows目录下的所有文件操作。
果然,开机13分钟后狐狸尾巴露出来了,没想到啊没想到,腾讯这浓眉大眼的家伙也叛变革命。
你丫到底想偷偷摸摸的干啥!!!!?
请勿使用多线程下载工具下载论坛附件!
为了监控,开机后除了chrome浏览器外啥软件都没开,QQprotect进程是通过系统服务启动的。
请勿使用多线程下载工具下载论坛附件!
文件不是常见的压缩包,十六进制查看器全是乱码,可能是加密的,这方面不懂。腾讯到底做了啥不可告人的事呢。
请勿使用多线程下载工具下载论坛附件!
经过大家的反馈,win7、win8、win10无一幸免。
附件是样本,希望大神分析一下里面都是些啥东西。
9dM8XkgV7JqZu6.zip
(246.22 KB, 下载次数: 6)
|
-
3
查看全部评分
-
|