大家测试一下，多引擎杀毒全过了，已更新

230f4

paul_guo 发表于 2015-10-13 18:22
BD上报真心是随手点就行

怎么说？在隔离区上报？

翼风Fly

学雷锋做人 发表于 2015-10-13 17:29
昨天下午幽然发了这个样本给我叫我分析看看，然后问他压缩密码，他说在外面的那些样本里，结果我围绕mm ...

我也是简单看了两眼 mm.exe ，当然我不会找啦~
然后我又看了看批处理。。。发现着他喵的不是命令行的解压缩嘛？
然后再右击看属性。。。瞬间大悟。。。。
瞬间明白密码在批处理中，但是看不出来啊。。。批处理变量也很好理解啊。。。我还在纠结，密码竟然可以是动态的？绝对不科学。。。然后就开始复制。。。哦。。。是空格。。。然后解压时输入空格。。。就他喵的不对。。。死活不对。。。
然后突然明白那是全角的。。。

这是在玩我们呢

看来应该先整体先看一下，批处理优先要看

全是白又怎么样，释放文件是黑/放到敏感位置被拦就行，但是他喵的竟然有重启，运气好的话依然可以趁虚而入。城会玩。。。。


=============
这种样本只能单纯的进行没有意义的拉黑吧？

================
刚刚发现一些毁三观的东西。。。。64楼更新了

paul_guo

230f4 发表于 2015-10-13 18:26
怎么说？在隔离区上报？

你电脑上有WINRAR吧？有没有FOXMAIL之类的？
都有我就教你一招

翼风Fly

各位，接下来毁三观的时间到了
这货他丫的竟然。。。

http://hl.laolaoma.com/


可以免费下载。。。？！

hlsys32.exe 中的内容：




生成静默包。。。

































后来我看了看主页：http://hl.laolaoma.com/usage.php
果然。。。。

看来，此次的样本应该分为两部分

• LMIns.exe ：作者为 http://hl.laolaoma.com/
• 其他的内容为相关装机人员所做的修改
  

我瞬间无言以对。。。。原来锁主页也可以那么淋漓尽致。。。。好在除了锁主页，没别的啥。。。
作者开发的这个工具。。。。虽然挺辛苦。。。也挺不容易。。。但是。。。我不想多说什么了。。。。

翼风Fly

烦请大家看一下64楼。。。现在对这个样本作何评价呢？

大召唤术：
@ELOHIM
@尘梦幽然
@230f4
@ericdj
@sanhu35
@XywCloud
@学雷锋做人
@villana
@paul_guo

这东东还有软件主页呢。。。

villana

翼风Fly 发表于 2015-10-13 19:08
烦请大家看一下64楼。。。现在对这个样本作何评价呢？

大召唤术：

看来这东东是个好软件，一生锁页不用愁我也不知道该怎么评价这作品了

ericdj

翼风Fly 发表于 2015-10-13 19:08
烦请大家看一下64楼。。。现在对这个样本作何评价呢？

大召唤术：

首先作为非专业人士，而且还只是扫描党，表示膜拜~~~~
因为~~~

看不懂代码

不过就结果看，貌似~~~
很流弊！！！！

就为了锁个主页，居然这么~~~复杂

还有主页上申明的：
功能

强力锁定各种浏览器首页，经过测试可以锁IE6.0-11.0、火狐、谷歌浏览器、2345极速/王牌、360极速浏览器、360安全浏览器、猎豹浏览器、遨游浏览器、QQ浏览器、百度浏览器、搜狗浏览器、Opera、 F1浏览器等...，一生锁页可以针对市面上的大部分浏览器进行锁定，其锁定力度已胜过作者测试过的几款软件；
支持白名单/黑名单功能,您可以通过一生锁页支持的规则(支持内部规则和正则表达式)来设置浏览器在启动时允许/禁止打开哪些URL
支持网络配置功能
一生锁页可启用上网记录保存功能，可记录浏览器访问过的URL地址
生成静默包功能(静默包可自动识别32和64位系统进行安装)
支持后台管理功能
后台管理 - 支持自动更新功能
后台管理 - 支持用户统计功能
后台管理 - 支持重新配置功能

适用人群

个人用户
有一定客户群的电脑维护人员
安装网吧系统的电脑公司
网吧业主

发现果然不适合偶

而且还申明

近期很多网友加入一生锁页交流群反应机上莫名其妙装了一生锁页软件,并且删除了开机又有;在这里作者申明,你们机上中的不是一生锁页病毒,而是另外一种恶意软件,只是此款恶意软件利用了一生锁页而已,碰到此种情况,请网友们重新安装系统;

哈哈，碰到病毒就直接建议重装系统，也是厉害

paul_guo

翼风Fly 发表于 2015-10-13 18:35
各位，接下来毁三观的时间到了
这货他丫的竟然。。。

无话可说。。。。。。。

877906025Z

skyboybone 发表于 2015-10-9 22:49
金山拦截一个修改启动项
然后就关机了

然后呢？挂了？

skyboybone

877906025Z 发表于 2015-10-14 21:54
然后呢？挂了？

因为被拦截了启动，所以核心程序LMIns.exe 没能运行，不会造成太大破坏
目前LMIns.exe 已经入库了