修改MBR并触发系统蓝屏

显示全部楼层 · 发表于 2017-6-18 13:55:16

.........

显示全部楼层 · 发表于 2017-6-20 19:52:19

VA 25.12964
GD 25.9813

*** 进程 ***

进程: 8052
文件名: MBR.exe
路径: d:\360极速浏览器下载\mbr\mbr.exe

发行商：: 未知发行商
创建日期: 2017年6月20日 19:52:21
修改日期: 2017年6月1日 22:26:01

启动进程：: Explorer.EXE
发行商：: Microsoft Windows

*** 操作 ***

病毒扫描程序已检测出此文件是恶意程序。
已加壳的程序文件，可能隐藏有恶意代码。
程序正试图更改磁盘主引导记录（MBR）。

*** 隔离区 ***

下列文件被转入隔离区：
D:\360极速浏览器下载\MBR\MBR.exe

下列注册表项被删除：

YHLS8HJycnJiYnAqdHJCJycmBrdycnJyYmJwLCcnJycmBrlygvAoJyonKiYG33JycnJiYnC6cpFfY8ZycpFfY8ZyYmJwjnLScI9ykoCXcoIAAA
规则版本： 5.0.147
OS: Windows 10.0 Service Pack 0.0 Build: 14393 - Workstation 64bit OS
DLL版本： 68091

"D:\360极速浏览器下载\MBR\MBR.exe"
MD5: E479C826AE90EAEAE7C85EA7039C9CD2
C:\windows\Explorer.EXE
MD5: 679D17F8CDB938C7100D7A647953677E

显示全部楼层 · 发表于 2017-6-20 20:34:58

我的卡巴斯基不知道能不能杀出来

显示全部楼层 · 发表于 2017-6-24 00:02:17

霄栋发表于 2017-6-1 22:57
BDIS 2018beta+Win10 Pro x64 CU
扫描日常miss
双击，日常过ATD

WIN10 64位 BD 2018测试版成功拦截这个样本BD2015版本就可以靠之前独立版的IDS拦截了....

显示全部楼层 · 发表于 2017-6-24 11:38:47

，就一个. 发表于 2017-6-24 00:02
WIN10 64位 BD 2018测试版成功拦截这个样本BD2015版本就可以靠之前独立版的IDS拦截了....

这么明显的行为，成功拦截才是正常的。
我当时测试拦截失败，是因为2018 beta1 的ATD有一些问题，在部分机器上工作不正常
beta2似乎修复了这个问题，不过我还需要进一步测试才能确认。

显示全部楼层 · 发表于 2017-6-26 16:18:29

这个如果可以下载下来研究一下就好了

[病毒样本] 修改MBR并触发系统蓝屏

评分

本帖子中包含更多资源