楼主: wangbokai
收起左侧

[病毒样本] 一个破坏系统的病毒样本

[复制链接]
fever腾腾
发表于 2017-7-14 11:18:42 | 显示全部楼层
这个网盘下载速度好慢...70kb/s
fever腾腾
发表于 2017-7-14 11:27:07 | 显示全部楼层
费尔miss
实机未双击
ytysh
发表于 2017-7-14 11:28:28 | 显示全部楼层
F-Secure Kill 2x Miss hydra.exe
wangbokai
 楼主| 发表于 2017-7-14 11:30:29 | 显示全部楼层
fever腾腾 发表于 2017-7-14 11:18
这个网盘下载速度好慢...70kb/s

百度盘。。。当然慢咯
wangbokai
 楼主| 发表于 2017-7-14 11:31:27 | 显示全部楼层
skycai 发表于 2017-7-14 11:09
也可以试试下载到本地后能不能扫描。
管家下载保护比右键严格。

嗯,右键扫描查不出来
wangbokai
 楼主| 发表于 2017-7-14 11:32:02 | 显示全部楼层
我爱舒肤佳 发表于 2017-7-14 10:55
管家不是已经支持查杀了吗?

管家下载处理严格
Dolby123
发表于 2017-7-14 11:53:58 | 显示全部楼层


作者留下QQ 以及推特ID  

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
wangbokai
 楼主| 发表于 2017-7-14 12:05:34 | 显示全部楼层
Dolby123 发表于 2017-7-14 11:53
作者留下QQ 以及推特ID

测试过了??1.0 2.0 3.0都测试过了么
学雷锋做人
发表于 2017-7-14 12:15:18 | 显示全部楼层
本帖最后由 学雷锋做人 于 2017-7-14 12:16 编辑

这个样本,我刚刚上传VirusTotal,只有6家报,VT上显示国内无一家杀软报毒(此时此刻),而火绒安全软件 Kill
——————————————————————————————————————————————————————
在这里演示利用File_Analysis揭开病毒样本的神秘面纱
第一:载入样本发现写出了一些文件,分别存放在临时目录和File_safe文件夹下


第二:这里看到了样本的二次启动方式

第三:在File_safe安全环境下看到了所释放的文件

第四:这个是图片文件,到时候跳出来的

第五:看到了写入注册表的信息


第六:这个就是释放在临时目录文件

第七:如图所示,已经很明显了

第八:载入了释放的子文件(load-blackmi.exe可执行文件),提示等待1~5分钟

第九:但通过File_Analysis发现这里设置了定时器,并没有下一步的操作

第十:载入了释放的子文件(main.exe可执行文件),行为跟母体行为完全一致



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Dolby123
发表于 2017-7-14 12:18:02 | 显示全部楼层
wangbokai 发表于 2017-7-14 12:05
测试过了??1.0 2.0 3.0都测试过了么

当然测过了 ,全部拦截,感谢你的样本






本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-9-24 11:14 , Processed in 0.098107 second(s), 4 queries , MemCache On.

快速回复 返回顶部 返回列表