楼主: post8
收起左侧

[病毒样本] MBR ransom 双击党来玩玩

  [复制链接]
liulangzhecgr
发表于 2012-5-23 19:25:08 | 显示全部楼层
星野初 发表于 2012-5-23 18:25
嗯 过不了uac 不过我手动允许的

呵呵!顶一下。。。
sy0923
发表于 2012-5-23 22:19:32 | 显示全部楼层
金山拦截
yaoogle007
发表于 2012-5-23 22:27:30 | 显示全部楼层
测试病毒还是用虚拟机好
hk2005
发表于 2012-5-24 00:15:13 | 显示全部楼层
无法访问该网页

请求对象位于网址:

http://bbs.kafan.cn/forum.php?mod=
attachment&aid=MTY1NTg4MnxkZWVhNDA2ZnwxM
zM3Nzg5NjgwfDIxODQ1NnwxMjkzMzg4

检测到威胁:

对象已感染病毒Trojan-Ransom.Win32.Mbro.glq
post8
头像被屏蔽
 楼主| 发表于 2012-5-24 06:08:41 | 显示全部楼层
星野初 发表于 2012-5-23 18:18
嗯。。 微点1.2竟然没防住让俺很无解。。 哎老版本该更新了。。
这病毒win7 跟xp 还不一样么。。

http://vms.drweb.com/mbrlock16+keygen/?lng=ru 把那个hdd的号码输入这,会显示个密码,然后在输去中毒那部自己里就好了 刚刚虚拟机试了下,没问题可惜已晚,  你已经重装了。。           
Dazzle_Sharp
发表于 2012-5-24 06:24:52 | 显示全部楼层
fs kill
星野初
发表于 2012-5-24 09:19:58 | 显示全部楼层
post8 发表于 2012-5-24 06:08
http://vms.drweb.com/mbrlock16+keygen/?lng=ru 把那个hdd的号码输入这,会显示个密码,然后在输去中毒那 ...

....额 已经重装
wowocock
发表于 2012-5-24 09:42:40 | 显示全部楼层
直接 WINHEX 打开,将第2个扇区恢复到第一个扇区即可 。
wowocock
发表于 2012-5-24 10:13:51 | 显示全部楼层
本帖最后由 wowocock 于 2012-5-24 10:15 编辑

或者调用它自身的 恢复代码 ,用WINHEX打开后
将 0X19处的5个字节
b8 03 00 cd 10
mov ax,3
int 10h
改为
b8 5d 06  ff 10
mov ax, 65dh
jmp ax
即可。
seg000:005D                sub_5D          proc near               ; CODE XREF: seg000:loc_58p
seg000:005D 6A 00                          push    0
seg000:005F 07                             pop     es
seg000:0060 30 F6                          xor     dh, dh
seg000:0062 B2 80                          mov     dl, 80h ; '
85851234
发表于 2012-5-24 20:33:04 | 显示全部楼层
实机测试没有拦截悲剧了   这个是破坏MBR的病毒吗?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 17:03 , Processed in 0.086598 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表