自制病毒加强版

x291502676

saleniy35 发表于 2018-2-23 21:28
KIS PDM

病毒库能杀或者云拉黑了   PDM  也能杀  PDM跟这两个关联的

willjjyu

1. 分析开始        [敏感]        动态分析开始
   
2. 分析引擎信息        [敏感]        9.8, 40, 2018-02-23_21:37:47==2018-02-23_21:37:50
   
3. 进程开始执行        [敏感]        被 vasstarter.exe（ 1676）创建的进程开始执行
   
4. 自解压        [中危]        代码自解压，逃避分析与查杀
   
5. 加载模块        [敏感]        加载模块 HarddiskVolume1\WINDOWS\system32\msvcrt.dll
   
6. 读取系统文件        [中危]        读取文件 HarddiskVolume1\WINDOWS\system32\conime.exe
   
7. 启动CUI程序        [高危]        通过黑框命令行执行系统命令或恶意脚本
   
8. 删除文件        [中危]        删除文件 C:\Documents and Settings\xpuser\Local Settings\Temp\7.tmp
   
9. 设置注册表中键值        [中危]        设置注册表中键 \REGISTRY\USER\S-1-5-21-117609710-838170752-515967899-1003\SOFTWARE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\SHELL FOLDERS 的值 Desktop
   
10. 写入文件        [高危]        写入文件 HarddiskVolume1\Documents and Settings\xpuser\Local Settings\Temp\7.tmp\8.tmp\9.bat
    
11. 创建可执行程序        [高危]        创建可执行程序 HarddiskVolume1\Documents and Settings\xpuser\桌面\硬盘逻辑锁.exe
    
12. 跨进程内存读取        [高危]        读取 cmd.exe 进程中的数据，窃取信息
    
13. 跨进程内存写入        [高危]        修改进程 cmd.exe 的内存数据
    
14. 创建远程线程        [高危]        注入 cmd.exe 进程
    
15. 创建进程        [高危]        创建进程 㔱有㌰㐸
    
16. 读取文件        [中危]        读取文件 HarddiskVolume1\Documents and Settings\xpuser\Local Settings\Temp\7.tmp\8.tmp\9.bat
    
17. 调用WMI        [中危]        通过WMI获取和篡改系统信息
    
18. 系统调用异常        [中危]        异常的系统调用方式
    
19. 连接WMI服务        [中危]        连接到 WMI 服务 root\cimv2
    
20. 执行WMI语句        [高危]        执行 WQL 语句 SELECT __PATH, ProcessId, CSName, Caption, SessionId, ThreadCount, WorkingSetSize, KernelModeTime, UserModeTime, ParentProcessId FROM Win32_Process
    
21. 创建互斥量        [中危]        创建互斥量 WBEMPROVIDERSTATICMUTEX 防止重复感染
    
22. 结束其他进程        [高危]        结束进程 cmd.exe
    
23. 分析结束        [敏感]        动态分析结束

复制代码

还是分析一波吧 。

Dolby123

ELOHIM 发表于 2018-2-23 20:55
咦？
楼主自制了一个想哭勒索软件吗？

saleniy35

x291502676 发表于 2018-2-23 21:58
病毒库能杀或者云拉黑了   PDM  也能杀  PDM跟这两个关联的

哦哦哦这样子啊 了解了

ATP_synthase

x291502676 发表于 2018-2-23 21:58
病毒库能杀或者云拉黑了   PDM  也能杀  PDM跟这两个关联的

这是关了监控和应用程序控制的结果，否则轮不到pdm主防出面，pdm是最后一道防线，哪怕过期数据库和断网状态依然能起作用，这之间没有啥联系吧，pdm主要看行为是否恶意，我是这样理解的

x291502676

wusiyuanjh 发表于 2018-2-23 22:45
这是关了监控和应用程序控制的结果，否则轮不到pdm主防出面，pdm是最后一道防线，哪怕过期数据库和断网状 ...

Content我以前有个测试，如果没入库，pdm报毒名字不是这个，只不过我忘了

x291502676

wusiyuanjh 发表于 2018-2-23 22:45
这是关了监控和应用程序控制的结果，否则轮不到pdm主防出面，pdm是最后一道防线，哪怕过期数据库和断网状 ...

你可以找样本试试，入库的病毒，你测试pdm都会报毒，报毒名字应该一样，没入库病毒pdm拦截报毒名字和入库以后pdm报毒名字不一样的，而且没入库pdm不一定拦截，入库以后pdm就会拦截，我以前都测试过

curfew

File System Actions
Files Opened
C:\d7b49f791ed5373284d31ce371dee7fe6135389339f5231fc1fdaa41c6527513
C:\Documents and Settings\<USER>\Local Settings\Temp\3.tmp
C:\Documents and Settings\<USER>\Local Settings\Temp\3.tmp\4.tmp
C:\Documents and Settings\<USER>\Local Settings\Temp\3.tmp\4.tmp\5.tmp
C:\Documents and Settings\<USER>\Local Settings\Temp\3.tmp\4.tmp\6.tmp
C:\Documents and Settings\<USER>\Local Settings\Temp\3.tmp\4.tmp\5.bat
C:\Documents and Settings\<USER>\Desktop\2.exe
C:\Documents and Settings\<USER>\Desktop\Ransom.exe
C:\Documents and Settings\<USER>\Desktop\WannaCry.exe
C:\Documents and Settings\<USER>\Desktop\00.exe
Files Read
C:\Documents and Settings\<USER>\Local Settings\Temp\3.tmp\4.tmp\5.bat
C:\WINDOWS\Registration\R000000000007.clb
Files Written
C:\Documents and Settings\<USER>\Local Settings\Temp\3.tmp\4.tmp\5.bat
C:\Documents and Settings\<USER>\Desktop\2.exe
C:\Documents and Settings\<USER>\Desktop\Ransom.exe
C:\Documents and Settings\<USER>\Desktop\WannaCry.exe
C:\Documents and Settings\<USER>\Desktop\00.exe
C:\Documents and Settings\<USER>\Desktop\3.mp3
C:\Documents and Settings\<USER>\Desktop\WannaFuck.exe
nul
Files Deleted
C:\Documents and Settings\<USER>\Local Settings\Temp\3.tmp
C:\Documents and Settings\<USER>\Local Settings\Temp\3.tmp\4.tmp
C:\Documents and Settings\<USER>\Local Settings\Temp\3.tmp\4.tmp\5.tmp
Process And Service Actions
Processes Created
C:\WINDOWS\system32\cmd" /c ""C:\Documents and Settings\<USER>\Local Settings\Temp\3.tmp\4.tmp\5.bat" C:\d7b49f791ed5373284d31ce371dee7fe6135389339f5231fc1fdaa41c6527513""
C:\WINDOWS\system32\taskkill.exe taskkill /f /t /im HipsMain.exe
C:\WINDOWS\system32\taskkill.exe taskkill /f /t /im HipsDaemon.exe
C:\WINDOWS\system32\taskkill.exe taskkill /f /t /im HRSword.exe
C:\WINDOWS\system32\taskkill.exe taskkill /f /t /im HipsTray.exe
C:\WINDOWS\system32\tasklist.exe tasklist
C:\WINDOWS\system32\findstr.exe findstr /i HipsTray.exe
C:\WINDOWS\system32\ping.exe ping -n 60 127.1
C:\WINDOWS\system32\ping.exe ping -n 30 127.1
Shell Commands
((null)) C:\Documents and Settings\<USER>\Desktop\3.mp3 [(null)]
((null)) C:\Documents and Settings\<USER>\Desktop\2.exe [(null)]
((null)) C:\Documents and Settings\<USER>\Desktop\WannaCry.exe [(null)]
((null)) C:\Documents and Settings\<USER>\Desktop\WannaFunk.exe [(null)]
((null)) C:\Documents and Settings\<USER>\Desktop\00.exe [(null)]
((null)) C:\Documents and Settings\<USER>\Desktop\??????.exe [(null)]
((null)) C:\Documents and Settings\<USER>\Desktop\?????.exe [(null)]
Processes Injected
findstr.exe

ATP_synthase

x291502676 发表于 2018-2-23 23:41
你可以找样本试试，入库的病毒，你测试pdm都会报毒，报毒名字应该一样，没入库病毒pdm拦截报毒名字和入库 ...

感谢科普，下回试试

2605276004x

wusiyuanjh 发表于 2018-2-23 22:45
这是关了监控和应用程序控制的结果，否则轮不到pdm主防出面，pdm是最后一道防线，哪怕过期数据库和断网状 ...

sw回联动本地病毒库的云