请使用手机微信扫码安全登录

切换账号密码登录

绑定手机号

应国家法规对于账号实名的要求,请您在进行下一步操作前,需要先完成手机绑定 (若绑定失败,请重新登录绑定)。了解更多

不绑定绑定手机号

360官网 | 360商城

推荐论坛版块活动360粉丝商城众测粉丝轰趴馆常见问题
CS专业大学生,刚刚下载自己编译的exe时发现,下载完成的一瞬间火绒报毒。
因为是自己编译的exe,很清楚里面是没有恶意代码的。和之前编译的exe对比,发现报毒的exe多出一个section:

360社区

360社区

经过一系列尝试后,发现每当复制/下载exe后,火绒都会报毒,所以用IDA逆一下,发现报毒的exe入口函数做了以下操作:

360社区

360社区

动态获取一系列函数地址

360社区

360社区



最后把section后面附带的一个exe写入到temp目录下,WinExec后,返回到原exe的入口地址。

看了一下写入到temp的exe,aspack的壳。简单脱壳后,发现这个exe下载5个rar解压后执行:

360社区

360社区



翻看火绒的日志,发现修改exe的进程是explorer,怀疑explorer被注入shellcode或dll,用来向exe注入恶意代码。
section.zip (12.91 KB)

共 4 个关于电脑疑似成为ddos肉鸡,求溯源的回复 最后回复于 2021-3-2 23:54

评论

直达楼层

360fans_uid24929363 产品答疑师 发表于 2021-2-15 10:01 | 显示全部楼层 | 私信
您好,建议您使用360安全卫士全盘扫描查杀。
四海一叶秋 LV7.上尉 发表于 2021-2-15 10:53 | 显示全部楼层 | 私信
不就是常见的蠕虫病毒?清空信任区全盘查杀。
360fans_38kbQN LV1.上等兵 楼主 发表于 2021-2-15 12:34 | 显示全部楼层 | 私信
谢谢,正在全盘查杀
小~Q~机~器~人 VIP认证 LV5.少尉 发表于 2021-3-2 23:54 | 显示全部楼层 | 私信
确认是木马哟,360不行哟
您需要登录后才可以回帖 登录 | 注册

本版积分规则

360fans_38kbQN LV1.上等兵

粉丝:0 关注:0 积分:8

精华:0 金币:23 经验:7

最后登录时间:2021-3-2

360商城青铜会员

私信 加好友

最新活动

360云台摄像机9Pro写评论送大奖!

排行榜

热度排行 查看排行
今日 本周 本月 全部
    今日 本周 本月 全部

      内容推荐 热门推荐最新主帖

      扫码添加360客服号,涨知识的同时还有超多福利等你哦

      快速回复 返回顶部 返回列表