货真价实BMW病毒样本（不是老的CIH）9月4日更新<增加实际修改mbr和BIOS的部分>

骨灰级小白

解压密码

骨灰级小白

我擦，解压后什么都没有，只有一个88K的未知格式文件。

zhousulin5

2011-11-11 10:06:22    创建文件    阻止
进程: d:\specimen\mbr-bios\b.exe
目标: C:\WINDOWS\system32\drivers\bios.sys
规则: [应用程序]?:\*\*.exe -> [文件组]系统执行文件

2011-11-11 10:06:22    创建文件    阻止
进程: d:\specimen\mbr-bios\b.exe
目标: C:\my.sys
规则: [应用程序]?:\*\*.exe -> [文件组]其他可执行文件

2011-11-11 10:06:22    创建文件    阻止
进程: d:\specimen\mbr-bios\b.exe
目标: C:\my.sys
规则: [应用程序]?:\*\*.exe -> [文件组]其他可执行文件

2011-11-11 10:06:22    创建文件    阻止
进程: d:\specimen\mbr-bios\b.exe
目标: C:\my.sys
规则: [应用程序]?:\*\*.exe -> [文件组]其他可执行文件

2011-11-11 10:06:22    底层磁盘读操作    阻止
进程: d:\specimen\mbr-bios\b.exe
目标: \Device\Harddisk0\DR0
规则: [应用程序]?:\*

2011-11-11 10:06:22    底层磁盘写操作    阻止
进程: d:\specimen\mbr-bios\b.exe
目标: \Device\Harddisk0\DR0
规则: [应用程序]?:\*\*.exe

2011-11-11 10:08:27    创建文件    允许
进程: d:\specimen\mbr-bios\123.exe
目标: C:\Documents and Settings\Infotmp.txt
规则: [应用程序]?:\*\*.exe -> [文件]?:\?*\*

2011-11-11 10:08:27    创建文件    阻止
进程: d:\specimen\mbr-bios\123.exe
目标: C:\WINDOWS\system32\1E5105E0.tmp
规则: [应用程序]?:\*\*.exe -> [文件]c:\windows\*

2011-11-11 10:08:27    向其他进程发送消息    允许
进程: d:\specimen\mbr-bios\123.exe
目标: c:\windows\explorer.exe
消息: WM_INPUTLANGCHANGEREQUEST
规则: [应用程序]?:\*\*.exe

2011-11-11 10:08:27    向其他进程发送消息    允许
进程: d:\specimen\mbr-bios\123.exe
目标: c:\windows\explorer.exe
消息: WM_INPUTLANGCHANGEREQUEST
规则: [应用程序]?:\*\*.exe

2011-11-11 10:08:31    修改文件    阻止
进程: d:\specimen\mbr-bios\123.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序]?:\*\*.exe -> [文件]\device\namedpipe\sfcapi

2011-11-11 10:08:31    修改文件    阻止
进程: d:\specimen\mbr-bios\123.exe
目标: \Device\NamedPipe\SfcApi
规则: [应用程序]?:\*\*.exe -> [文件]\device\namedpipe\sfcapi

2011-11-11 10:08:31    修改文件    阻止并结束进程
进程: d:\specimen\mbr-bios\123.exe
目标: C:\WINDOWS\system32\appmgmts.dll
规则: [应用程序]?:\*\*.exe -> [文件组]系统执行文件

liulangzhecgr

zhousulin5 发表于 2011-11-11 10:05
2011-11-11 10:06:22    创建文件    阻止
进程: d:\specimen\mbr-bios\b.exe
目标: C:\WINDOWS\system32 ...

这种样本，做心理准备后实机运行才有意思...

zhousulin5

liulangzhecgr 发表于 2011-11-11 10:14
这种样本，做心理准备后实机运行才有意思...

实机么，等双休日吧，用家里的旧电脑。办公室的就算了，要是不小心中招了又弄不好，那影响可不是一般的大。

liulangzhecgr

zhousulin5 发表于 2011-11-11 10:17
实机么，等双休日吧，用家里的旧电脑。办公室的就算了，要是不小心中招了又弄不好，那影响可不是一般的大 ...

已经过得很长时间啦，怎么现在才来玩？！ 原作者怎么说来着---不会再出，出了也不会有个‘提示’。。。

zhousulin5

liulangzhecgr 发表于 2011-11-11 10:26
已经过得很长时间啦，怎么现在才来玩？！ 原作者怎么说来着---不会再出，出了也不会有个‘提示’。 ...

在毛豆区看到个链接就点过来了，没注意到新不新。

becklee

用BullGuard拦截成功

xljbxx

Nis2012完全可杀，rar、zip格式全杀

xljbxx

骨灰级小白 发表于 2011-11-10 21:53
我擦，解压后什么都没有，只有一个88K的未知格式文件。

就是那个