360fans_uid25375536 发表于 2024-5-11 11:30

有人释放金融病毒

某财经网站,有人释放金融病毒,360杀毒无法杀除,此链接为释放病毒的股票软件http://121.5.65.208/Sjzlj.rar。此人自己设立了主页推广自己的股票软件,但他的股票软件带毒,估计是感染MBR和文件头的双料病毒。一旦运行,立刻感染MBR和Windows系统,并感染股票软件通达信,会监控电脑中所有的通达信软件运行情况,并且生成当前用户的股票交易信息数据目录,翻看病毒数据,严重怀疑其会加密上传股票交易账号和交易密码,很担心他会侵入交易账户造成损失。此金融病毒目前各大杀软均无法识别,低级格式化硬盘,重装系统仍然无法消除,目前论坛网管已经封禁了他的账户,详见:https://www.55188.com/thread-18819992-1-1.html

360fans_uid25375536 发表于 2024-5-11 11:33


leo0205 发表于 2024-5-11 15:03

好的,我们转给技术分析一下

360fans_RuPHhs 发表于 2024-5-11 16:10

非常感谢!
敬候佳音!{:19_584:}

leo0205 发表于 2024-5-11 18:53

这个软件确认有外挂风险,如果外挂启动是会拦截的

360fans_uid25375536 发表于 2024-5-12 09:24

是的,我有个备用电脑装的别的杀毒软件没识别出来,中招了。
我已经向网警报案
360后期升级的病毒库会查杀这个病毒吗?

360fans_uid25375536 发表于 2024-5-13 13:56

我现在图片发不上来
截了图本想发上来
发图片那个按钮是感叹号
不会我的电脑已经被他控制了吧?

360fans_uid25375536 发表于 2024-5-13 16:16

还是不行
重新安装了flash
重新启动
还是感叹号!

总体而言就是病毒在进化,隐藏更完美
一度怀疑是不是电脑被远程操控了
无法理解它是如何进化并把记录的个人股票信息数据文件转移到了通达信自身的T002目录下。
但是查询qwinsta显示正常,并没有未知的远程连接。

C:\Users\Administrator>qwinsta
会话名            用户名                   ID状态    类型      设备
services                                    0断开
>console         Administrator             1运行中

最初发现这个病毒是因为通达信莫名其妙自己退出
后来发现kernelbase.dll被修改了
硬盘已经低格2次
今天发现病毒又出来了
按理说分区表,MBR我都刷新了
不应该啊


360fans_uid25375536 发表于 2024-5-13 16:27

如果病毒接管window API来读写病毒数据文件
360应该会拦截吧?
不知道它如何做到顺利读写自己产生的数据而不被察觉的
页: [1]
查看完整版本: 有人释放金融病毒