未知壳的MBR硬盘锁样本

显示全部楼层 · 发表于 2018-2-16 12:53:33

目测加了强壳，防虚拟机。

链接呈上：https://pan.baidu.com/s/1kXh8o2F 密码: bih3

显示全部楼层 · 发表于 2018-2-16 13:44:27

显示全部楼层 · 发表于 2018-2-16 13:49:50

文件名: 我就是软件.exe
威胁名称: Heur.AdvML.B完整路径: c:\users\ly\desktop\我就是软件.exe

____________________________

____________________________

在电脑上 
2018/2/16 ( 13:47:08 )

上次使用时间 
2018/2/16 ( 13:49:09 )

启动项 
否

已启动 
否

威胁类型: 启发式病毒。根据恶意软件启发式技术检测威胁。

____________________________

我就是软件.exe 威胁名称: Heur.AdvML.B
定位

极少用户信任的文件
Norton 社区中有不到 5 名用户使用了此文件。

极新的文件
该文件已在不到 1 周前发行。

高
此文件具有高风险。

____________________________

来源: 外部介质

源文件:
我就是软件.exe

____________________________

文件操作

文件: c:\users\ly\desktop\ 我就是软件.exe 已删除
____________________________

文件指纹 - SHA:
3a21506bfc046c1b6a5559af4ce3667c53b2c163c95116210406c1c6a3a3b7d0
文件指纹 - MD5:
c6b5e6689d4710f37f879e9e048c3077

显示全部楼层 · 发表于 2018-2-16 14:07:45

KIS网页拦截

显示全部楼层 · 发表于 2018-2-16 15:58:57

卡巴杀

显示全部楼层 · 发表于 2018-2-16 18:21:44

锁机密码xiaogege
雷锋的工具：
18:20:46[1]：(允许)程序启动：File_Analysis 行为记录成功开启规则版本：2.3.0.0

18:20:46[2]：(允许)读取文件：C:\Windows\syswow64\kernel32.dll

18:20:46[3]：(允许)读取文件：C:\Windows\syswow64\USER32.dll

18:20:46[4]：(允许)读取文件：C:\Windows\syswow64\GDI32.dll

18:20:46[5]：(允许)读取文件：C:\Windows\system32\WINMM.dll

18:20:46[6]：(允许)读取文件：C:\Windows\system32\WINSPOOL.DRV

18:20:46[7]：(允许)读取文件：C:\Windows\syswow64\ADVAPI32.dll

18:20:46[8]：(允许)读取文件：C:\Windows\syswow64\SHELL32.dll

18:20:46[9]：(允许)读取文件：C:\Windows\syswow64\ole32.dll

18:20:46[10]：(允许)读取文件：C:\Windows\syswow64\OLEAUT32.dll

18:20:46[11]：(允许)读取文件：C:\Windows\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_5.82.7601.17514_none_ec83dffa859149af\COMCTL32.dll

18:20:46[12]：(允许)读取文件：C:\Windows\syswow64\WS2_32.dll

18:20:46[13]：(允许)读取文件：C:\Windows\syswow64\comdlg32.dll

18:20:46[14]：(允许)读取文件：C:\Windows\syswow64\PSAPI.DLL

18:20:46[15]：(允许)查找窗口：1212121(窗口类名)

18:20:46[16]：(允许)查找窗口：icu_dbg(窗口类名)

18:20:46[17]：(允许)查找窗口：pe--diy(窗口类名)

18:20:46[18]：(允许)查找窗口：ollydbg(窗口类名)

18:20:46[19]：(允许)查找窗口：odbydyk(窗口类名)

18:20:46[20]：(允许)查找窗口：TDeDeMainForm(窗口类名)

18:20:46[21]：(允许)查找窗口：TIdaWindow(窗口类名)

18:20:46[22]：(允许)查找窗口：(窗口类名)

18:20:46[23]：(允许)查找窗口：kk1(窗口类名)

18:20:46[24]：(允许)查找窗口：Eew75(窗口类名)

18:20:46[25]：(允许)查找窗口：Shadow(窗口类名)

18:20:46[26]：(允许)查找窗口：WinDbgFrameClass(窗口类名)

18:20:46[27]：(允许)查找窗口：(窗口类名)

显示全部楼层 · 发表于 2018-2-16 18:24:30

检测OD和Vmware WorkStation
这个作者的锁机有很多，我收了一堆了。。。。。OD载入之后直接运行就行了

显示全部楼层 · 发表于 2018-2-16 18:25:24

本帖最后由 cl058015 于 2018-2-17 21:59 编辑

重新说下壳子是各种壳的混淆
可能有ASP、Code_Confusion、Code_Elimination、Decode_onExec、Decode_onReg、Enigma、NoobyProtect、Safengine、Shielden、VMP、ZProtect、穿山甲
应该是调用了不哭专用模块（反破解模块）
还有无名模块

显示全部楼层 · 发表于 2018-2-16 18:41:40

如果运行之后，看注释只有那个锁机作者的QQ，就这样整

显示全部楼层 · 发表于 2018-2-16 18:45:01

avast 沙盒运行kill

[病毒样本] 未知壳的MBR硬盘锁样本

本帖子中包含更多资源

本帖子中包含更多资源