关于联通E卡病毒的一点发现，请大家自行杀毒

wsycqyz · 发表于 2018-12-5 10:51:16

我也来凑个热闹，很多人昨天运行运联通E卡的那个助手软件吧，肯定是有毒的，这里说一些细节：

运行后会生成病毒本身：
C:\Users\cisco\AppData\Local\Temp\gamedown\009\svchost.exe
C:\Users\cisco\AppData\Local\Temp\gamedown\009\libcef.dll

之后病毒本身会尝试写注册表让自己每次随系统启动而启动：
操作者：C:\Users\cisco\AppData\Local\Temp\gamedown\009\svchost.exe
命令行：-CallExplorerRun- /from=ek_s_l_id=106/
风险动作：修改Winlogon Userinit项
目标注册表：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
操作类型：写入
数据内容：C:\Windows\system32\userinit.exe,"C:\Users\cisco\AppData\Roaming\Tencent\rtl\UIstyle\x64\svchost.exe",

火绒应该是能发现的。

jy02201949 · 发表于 2018-12-5 11:06:24

https://mp.weixin.qq.com/s/04idVCQusKp9w96tvcDUxw

火绒公众号都发出来了，这个B作者的信息

tomcb · 发表于 2018-12-5 10:52:54

没联通卡，没鸟事

blackmoonth · 发表于 2018-12-5 11:02:03

貌似发那软件的楼主都索了建议用虚机运行

天堂凌风 · 发表于 2018-12-5 11:09:02

还好没去撸这波羊毛

马克斯 · 发表于 2018-12-5 11:13:26

刚装了火绒，扫了一遍没发现病毒

hsxuguang · 发表于 2018-12-5 11:18:10

这个作者全身都被扒光了。tcl

funkys · 发表于 2018-12-5 11:18:13

垃圾作者，我在百度下载的慢，下好了，我都睡了，第二天就爆出来有毒

pulpfunction · 发表于 2018-12-5 11:18:46

慎用第三方羊毛插件

wcom · 发表于 2018-12-5 11:30:47

比较感兴趣这个作者会受到什么处罚

		自动登录	找回密码
密码			注册

关于联通E卡病毒的一点发现，请大家自行杀毒

浏览过的版块