自制病毒改进版

显示全部楼层 · 发表于 2018-6-9 22:02:00

本帖最后由安全守护者于 2018-6-9 22:45 编辑

更新内容：
#增加了Microsoft (R) Windows 10 易升
更新内容的目的
#扰乱自动分析引擎
#干扰分析人员

DOWNLOAD NOW

显示全部楼层 · 发表于 2018-6-9 22:27:55

本帖最后由 2605276004x 于 2018-6-10 13:11 编辑

Kaspersky双击

监控干掉hosts---Trojan.Win32.Hosts2.gen
-----------------------------------------
现在UDS报勒索，不去双击了

显示全部楼层 · 发表于 2018-6-9 22:41:54

显示全部楼层 · 发表于 2018-6-9 23:06:38

2605276004x 发表于 2018-6-9 22:27
Kaspersky双击

监控干掉hosts---Trojan.Win32.Hosts2.gen

卡巴和蜘蛛都会无脑报修改过的hosts

显示全部楼层 · 发表于 2018-6-9 23:25:26

klinxun 发表于 2018-6-9 23:06
卡巴和蜘蛛都会无脑报修改过的hosts

并不是如此，这个hosts放到任意位置都杀。我自己手动修改hosts放到其他位置就不会这样

显示全部楼层 · 发表于 2018-6-9 23:46:14

klinxun 发表于 2018-6-9 23:06
卡巴和蜘蛛都会无脑报修改过的hosts

被修改的hosts一定要有某些内容被改才会报

显示全部楼层 · 发表于 2018-6-9 23:51:59

本帖最后由 www-tekeze 于 2018-6-9 23:59 编辑

火绒扫描miss，双击运行完美拦截，有勒索报毒窗口，同时还有两条易升的联网请求 (不截图了)，点击易升的“接受”按钮，程序可以运行，后续没有观察了。。

楼主这个似乎没有干扰到火绒的分析啊，看来火绒虚拟沙盒内的通用脱壳抗混淆能力还是不错的？

显示全部楼层 · 发表于 2018-6-10 00:02:03

显示全部楼层 · 发表于 2018-6-10 00:08:57

本帖最后由 www-tekeze 于 2018-6-10 00:16 编辑

www-tekeze 发表于 2018-6-9 23:51
火绒扫描miss，双击运行完美拦截，有勒索报毒窗口，同时还有两条易升的联网请求 (不截图了)，点击易升的“ ...

搞漏掉了，还有个拦截修改Hosts文件的，补上。。。另外还有两个建立桌面快捷方式的弹窗，没多少意思不截图了。

显示全部楼层 · 发表于 2018-6-10 00:40:49

pal家族发表于 2018-6-9 23:46
被修改的hosts一定要有某些内容被改才会报

反正被修改过就报，蜘蛛更是预防性保护哪里就禁止改hosts。

[病毒样本] 自制病毒改进版