敲竹杠界的要你命3000又来了，还是熟悉的味道，和不一样的熊猫，依然实机运行警告...

zhou0197

样本：http://pan.baidu.com/s/1dFmeNBj

解压密码：infected

网盘是我滴，各位手下留情，请勿举报…………

锁机部分和之前似乎区别不大，经过初步虚拟机测试，此样本具有添加普通开机密码和账户（又是随缘密码），锁MBR，破坏安全模式，加驱动，破坏性极高！

此外样本似乎具有部分的反虚拟机检测能力，请注意。

这次最大的惊喜是样本释放的衍生物里面似乎有熊猫烧香，搞不好是原版的（看见了gamesetup），这个很难得，顺便也增加了杀伤力……

实机运行警告！
实机运行警告！
实机运行警告！



PS：这次的邮箱貌似还是网易的了？？？ 各位大神们加油……

DR1716830471

BD解压不杀，扫描不报毒


双击

vm001

360---C:\Users\Admin\Desktop\CF刷枪.rar 2.02 MB 危险 360浏览器下载 2016-09-04 09:39

诸葛亮

文件名: cf刷枪.exe
威胁名称: Heur.AdvML.B完整路径: c:\users\m\desktop\cf刷枪\cf刷枪.exe

____________________________

____________________________


在电脑上 
2016/9/4 ( 9:39:18 )

上次使用时间 
2016/9/4 ( 9:41:18 )

启动项 
否

已启动 
否

威胁类型: 启发式病毒。 根据恶意软件启发式技术检测威胁。

____________________________


cf刷枪.exe 威胁名称: Heur.AdvML.B
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质

源文件:
cf刷枪.exe

____________________________

文件操作

文件: c:\users\m\desktop\cf刷枪\ cf刷枪.exe 已删除
____________________________


文件指纹 - SHA:
e9f8522c8e77ea93113a9e3f3d517e9fb81da5156f7ee8c9642fd3310af0a599
文件指纹 - MD5:
不可用

蓝天二号

火绒

文件路径：C:\Users\。。\Desktop\新建文件夹\CF刷枪.exe
病毒名：Trojan/WreckSecurity.a
病毒ID：CE35D6D2726C4007
用户操作：已清除


AVG

tomochan

kaspersky free 安全，信誉未知

linzh

tomochan 发表于 2016-9-4 10:05
kaspersky free 安全，信誉未知

双个击试试

tomochan

linzh 发表于 2016-9-4 10:07
双个击试试

kaspersky free没有主防、应用程序控制等组件，而且就算有实机也没装虚拟机，囧，我给卡巴上报了

230f4

Bitdefender暂时入库：

XywCloud

就比上次那个敲竹杠多捆绑了个熊猫烧香（确认是原版，不要问我怎么知道的）
其他的手法一点都没变。