发表病毒贴，通知作者后还不悔改

body2

http://wuyou.net/forum.php?mod=v ... page%3D1&page=1


行为分析
https://habo.qq.com/file/showdetail?pk=ADcGZl1rB2QIOFs0U2E%3D

pcfan120

不知道这个在线扫描靠谱不https://www.virustotal.com/#/home/upload

fjzjk

pcfan120 发表于 2019-5-19 00:04
多谢分析，。。我用viruscan.org在线扫描好像只有4个报警，还以为是误报呢..。。这么说viruscan.org在线扫 ...

解压后的结果和解压前不太一样。我扫出来是7个。

pcfan120

多谢分析，。。我用viruscan.org在线扫描好像只有4个报警，还以为是误报呢..。。这么说viruscan.org在线扫描结果不靠谱吗

out

wuyou 发表于 2019-5-18 09:56
现在发帖者已经申明软件有毒。
凡是破解的东西，建议不要发在本论坛。

吾爱破解论坛的病毒分析区的版主Hmily确认为

确认捆绑木马，请下载运行的同学尽快使用360系统急救箱查杀！

贴几个木马重要位置，注意全部清理：
C:\WINDOWS\system32\Ocular
C:\WINDOWS\system32\winrdlv3.exe
C:\Program Files\Common Files\System\systecv3.exe
C:\Program Files\Common Files\System\winrdgv3.exe

fjzjk

wuyou 发表于 2019-5-18 09:56
现在发帖者已经申明软件有毒。
凡是破解的东西，建议不要发在本论坛。

是的，建议不要发在本论坛。虽然经常还是有人发破解的ATI或者diskgenius、aomei之类的，不过那些还好

wuyou

fjzjk 发表于 2019-5-17 23:37
站长，吾爱原帖已经被确认挂马并删帖了。
吾爱原帖

现在发帖者已经申明软件有毒。
凡是破解的东西，建议不要发在本论坛。

辰羿

wuyou 发表于 2019-5-17 18:33
破解操作系统的，基本上都是说不清楚的，被报毒也很正常，下载者自己把握。

https://www.52pojie.cn/forum.php?mod=redirect&goto=findpost&ptid=956142&pid=26076798

wjqok

报毒的真有恶意程序的可能性基本上有四分之一，许多人一看是什么破解就宁可信其无。觉得是误报封杀。

fjzjk

2012jiashanni 发表于 2019-5-17 23:48
吾爱没几样东西干净的  有种人 一个是破解别人的程序 改下作者信息 然后捆绑木马

是的，吾爱大部分本来就是破解别人程序，然后根据论坛要求把作者信息改成52pojie。
但是捆绑木马的行为还是比较少的，一旦被发现就是删封。

2012jiashanni

吾爱没几样东西干净的  有种人 一个是破解别人的程序 改下作者信息 然后捆绑木马

fjzjk

wuyou 发表于 2019-5-17 18:33
破解操作系统的，基本上都是说不清楚的，被报毒也很正常，下载者自己把握。

站长，吾爱原帖已经被确认挂马并删帖了。
吾爱原帖

fjzjk

我在吾爱病毒样本区发，已经被版主确认挂马并把原帖删帖了

danmo

2012jiashanni 发表于 2019-5-17 22:45
我程序判断虚拟机 检测到虚拟机开启免软件捆绑特权 是不是也有问题

有些东西。只有自己做软件的，知道其中辛苦，加这些对自己的一种保护而已。问心无愧就好了。

fjzjk

我解压后得出是这样的东西

chishingchan

那贴子我回复过，没下载过！哈哈！

fjzjk

2012jiashanni 发表于 2019-5-17 22:45
我程序判断虚拟机 检测到虚拟机开启免软件捆绑特权 是不是也有问题

我不敢说绝对，但是大部分确实是有问题的。麻烦您仔细看我后面的回复，行为分析和查毒结果都是有问题的。

吾爱原帖已经被版主删帖封号了。确认捆绑木马

2012jiashanni

fjzjk 发表于 2019-5-17 19:09
z大！主要是行为检测，有虚拟机检测、不允许虚拟机中运行的，多半都是有问题的程序。因为他们怕别人用虚 ...

我程序判断虚拟机 检测到虚拟机开启免软件捆绑特权 是不是也有问题

fjzjk

body2 发表于 2019-5-17 22:13
而且我都帮你把行为分析报告贴出来了，也没空检测看一眼吗？
一个正常软件会释放2个.exe + 1个.sys吗？
...

术业有专攻。无忧不是特别擅长分析和破解病毒木马并不奇怪。
还是整理一下然后举报加上吾爱论坛举报吧，我已经发到吾爱论坛的病毒样本分析区了，等大佬反编译分析

body2

wuyou 发表于 2019-5-17 18:33
破解操作系统的，基本上都是说不清楚的，被报毒也很正常，下载者自己把握。

而且我都帮你把行为分析报告贴出来了，也没空检测看一眼吗？
一个正常软件会释放2个.exe + 1个.sys吗？

举个例：
E语言写的程序基本都报毒，我如果用E语言的程序绑个木马上来发几个贴也去让论坛用户自己分辨？
那还要版主来干嘛？

fjzjk

wintoflash 发表于 2019-5-17 22:07
原帖中病毒检测报告只有两个引擎报毒。实际上传后有7个引擎报毒。

我重新下载上传检测试试。而且吾爱那个帖子下面也有人回复了，他过去下载的就是那个600k的版本，楼主那个6m的明显有问题

不是，那个人原帖上传的是zip文件，md5没错。解压出来exe扫描是你这个结果也没错

fjzjk

wintoflash 发表于 2019-5-17 21:53
7-ZIP右键打开方式选"#"或"#:e"都可以打开。
前面的1.exe修改时间是2010年，体积只有600k左右，应该是mi ...

看来破解还是7zip好用。我平时图方便都是bandizip。
还是我技术不行，对这种破解不在行。我只会简单的去壳和破解.net程序

fjzjk

根据腾讯的哈勃分析系统，我们可以提取出几个重点：
1、虚拟机探测，以及注册表中的虚拟机检测
2、加载驱动tfsfltdrv.sys
3、在system32创建特殊属性文件夹Ocular
4、创建系统服务，加载winrdgv3.exe、tfsfltdrv.sys这两个文件。

经过百度搜索得知，winrdgv3.exe、tfsfltdrv.sys这两个文件是ip-guard这款监控软件的模块，这款软件可以进行监控和文档加密等操作。
另外楼上说了，用其他在线检测工具可以查出有毒，7zip打开发现里面有猫腻等等

fjzjk

wintoflash 发表于 2019-5-17 21:42
https://www.virustotal.com/#/file/9e4ed35a02f5a88d6db98cfb6fa5bdb1edfe7d86e4545dde0aec4690944fe3a5 ...

7zip可以打开啊？我用bandizip打不开
腾讯的行为检测明显证明了这个软件是有问题的，等我打字整理一下

fjzjk

zds1210 发表于 2019-5-17 19:19
楼上厉害。

吾爱破解这个论坛有发生过比较多次的病毒贴事件，不允许虚拟机运行的都要特别重视。大部分的锁机、木马、后门软件都会加入虚拟机检测的部分。因为吾爱这种论坛，大家都比较多的使用虚拟机来测毒
确实激活类软件大部分都会报毒，但是行为检测和简单的查毒是两码事。我们常用的激活软件都可以在虚拟机中使用，极少有见到检测是否虚拟机，还在注册表中搜索虚拟机信息的。
-----------------
刚刚我对腾讯检测的行为分析里面出现的几个敏感位置的文件进行搜索，发现是一个监控软件的模块。这应该是后门
------------------23：40分更新----------------------
原帖吾爱论坛版主已经确认捆绑木马，已经被封禁

指南针

6楼的匿名回复是怎么发出来的

zds1210

楼上厉害。

fjzjk

zds1210 发表于 2019-5-17 18:48
破解软件被报病毒，很正常。当然老毛桃PE中的程序，好多报病毒，但实践证明是非常安全的。
洁避都不要用。

z大！主要是行为检测，有虚拟机检测、不允许虚拟机中运行的，多半都是有问题的程序。因为他们怕别人用虚拟机测试出他的有害行为

fjzjk

有检测虚拟机的大部分都有问题
之前用的那些纯净经典激活软件都没有检测虚拟机这种行为，无论是小马oem7、kms8、chew wga，数字权利激活

zds1210

破解软件被报病毒，很正常。当然老毛桃PE中的程序，好多报病毒，但实践证明是非常安全的。
洁避都不要用。