关于联通E卡病毒的一点发现，请大家自行杀毒

wsycqyz

我也来凑个热闹，很多人昨天运行运联通E卡的那个助手软件吧，肯定是有毒的，这里说一些细节：

运行后会生成病毒本身：
C:\Users\cisco\AppData\Local\Temp\gamedown\009\svchost.exe
C:\Users\cisco\AppData\Local\Temp\gamedown\009\libcef.dll

之后病毒本身会尝试写注册表让自己每次随系统启动而启动：
操作者：C:\Users\cisco\AppData\Local\Temp\gamedown\009\svchost.exe
命令行：-CallExplorerRun- /from=ek_s_l_id=106/
风险动作：修改Winlogon Userinit项
目标注册表：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Userinit
操作类型：写入
数据内容：C:\Windows\system32\userinit.exe,"C:\Users\cisco\AppData\Roaming\Tencent\rtl\UIstyle\x64\svchost.exe",

火绒应该是能发现的。

jy02201949

https://mp.weixin.qq.com/s/04idVCQusKp9w96tvcDUxw

火绒公众号都发出来了，这个B作者的信息

tomcb

没联通卡，没鸟事

blackmoonth

貌似发那软件的楼主都索了建议用虚机运行

天堂凌风

还好没去撸这波羊毛

马克斯

刚装了火绒，扫了一遍没发现病毒

hsxuguang

这个作者全身都被扒光了。tcl

funkys

垃圾作者，我在百度下载的慢，下好了，我都睡了，第二天就爆出来有毒

pulpfunction

慎用第三方羊毛插件

wcomflcx

比较感兴趣这个作者会受到什么处罚


wcom 发表于 2018-12-5 11:30

比较感兴趣这个作者会受到什么处罚
吃几年免费国家饭是没跑了