某个敲竹杠

显示全部楼层 · 发表于 2018-1-20 13:56:04

本帖最后由 remiliacn 于 2018-1-20 13:57 编辑

行为主要是设置一个随机密码

改密码会生成一个随机五位数，并且生成一个“解锁码”然后执行一个net user %username% xxx
给的随机码形式如下：2024883765726

密码的推算为：
提取数字串最后五个数字，然后将最后五个数字前面的这些数字减去最后的这个五个数字，在前面加上LockSystem（大小写敏感）就是开机密码了。

病毒执行以下命令：
C:\Windows\system32\cmd.exe /c net user 要密码加QQ206057404随机码为:2024883765726 LockSystem2018311165726 /add

病毒样本下载地址（密码：infected）

自己瞎搞的样本库：remiliacn.ys168.com

显示全部楼层 · 发表于 2018-1-20 14:06:53

卡巴
启发报毒。。。
KSN拉黑（奇怪。。。）

显示全部楼层 · 发表于 2018-1-20 14:17:02

显示全部楼层 · 发表于 2018-1-20 19:31:22

Win32/Trojan.f26

显示全部楼层 · 发表于 2018-1-20 21:01:59

显示全部楼层 · 发表于 2018-1-20 22:46:14

360跟MSE都miss了

显示全部楼层 · 发表于 2018-1-21 06:13:47

易语言写的吗

显示全部楼层 · 发表于 2018-1-21 06:14:18

墓雪千山发表于 2018-1-20 22:46
360跟MSE都miss了

360不拦截修改密码部分吗

显示全部楼层 · 发表于 2018-1-21 07:56:00

操作者：C:\Windows\SysWOW64\cmd.exe
命令行：C:\Windows\system32\cmd.exe /c net user 要密码加QQ206057404随机码为:2026889085697 LockSystem2018319385697 /add
风险动作：命令行添加用户账号
执行文件：C:\Windows\SysWOW64\net.exe
执行命令行：net user 要密码加QQ206057404随机码为:2026889085697 LockSystem2018319385697 /add
用户操作：已阻止

复制代码

7:50:41[1]：(允许)程序启动：File_Analysis 行为记录成功开启规则版本：2.3.0.0
07:50:41[2]：(允许)查找窗口：(窗口类名)
07:50:43[23334]：(安全提醒)发现执行的步数过多，为了防止出现死循环不可控，已在此结束进程！

复制代码

@学雷锋做人这种总算该完善了吧

显示全部楼层 · 发表于 2018-1-21 08:01:21

本帖最后由安全守护者于 2018-1-21 08:14 编辑

这应该是测试用的

[病毒样本] 某个敲竹杠

本帖子中包含更多资源

本帖子中包含更多资源