搜索
查看: 5044|回复: 82
收起左侧

[病毒样本] 一个改mbr的病毒...

  [复制链接]
挚爱HNL
发表于 2018-6-12 20:32:23 | 显示全部楼层 |阅读模式
本帖最后由 挚爱HNL 于 2018-6-12 21:39 编辑

链接: https://pan.baidu.com/s/1a2MYVgLKSt0Li3S4X_nrqg 密码: 3mmw
来源:B站:The_Void工作室(自制)

The_Void
发表于 2018-6-13 12:14:55 | 显示全部楼层
大家好,我是病毒的作者,有什么建议可以在这里反馈,最新版链接:https://pan.baidu.com/s/1F0cgm_CdgsWfjpo-J6pJ4g
其实也不算什么更新,只是移除了Memory.exe,因为这个程序处于未使用状态(这个程序的作者也是我)打开病毒只需打开System Destoryer.exe即可
下面把病毒发作过程说一下

第一阶段:开始本阶段时首先修改MBR,然后创建记事本并打开,没有其他症状,150秒后进入第二阶段
第二阶段:每隔3秒打开cmd、IE、注册表编辑器中随机一个窗口,60秒后进入第三阶段
第三阶段:除第二阶段症状以外,每隔4秒打开一个类似MEMZ弹窗的vbs弹窗,且无法关闭,60秒后进入第四阶段
第四阶段:除第二、三阶段症状以外,每秒打开一个cmd窗口,30秒后进入第五阶段
第五阶段:开始时直接执行mountvol c:\ /d(删除c盘装入点,相当于移除c盘)
病毒演示视频链接:https://www.bilibili.com/video/av24547628
761773275
发表于 2018-6-12 20:38:07 | 显示全部楼层
本帖最后由 761773275 于 2018-6-12 20:40 编辑

病毒: Trojan.Generic.22985433 (引擎A)

嘗試開啟已感染檔案。

檔案: Memory.exe
資料夾: C:\Users\19285\AppData\Local\Temp\7zE8DFC1ABF\System Destroyer
,就一个.
发表于 2018-6-12 20:45:39 | 显示全部楼层
过迈克菲扫描
双击主防杀
DRAWERROR.EXE 报Real Protect-LS!a4b655c4580f
DESTROYER.EXE  Real Protect-LS!38e93d542f64
humanlwj52
发表于 2018-6-12 21:05:22 | 显示全部楼层
To ESET.
,就一个.
发表于 2018-6-12 21:27:20 | 显示全部楼层
如果这种样本过了红伞扫描,结局就是死亡 虽然红伞查杀高 我还是不会用
杰伦J时代
发表于 2018-6-12 21:33:39 | 显示全部楼层
,就一个. 发表于 2018-6-12 21:27
如果这种样本过了红伞扫描,结局就是死亡 虽然红伞查杀高 我还是不会用

怎么说?
,就一个.
发表于 2018-6-12 21:39:05 | 显示全部楼层

没主防硬伤啊 如果过了就是过了 没有后续了 但是以目前红伞这个状态 我可以说是又回到了当年查杀率第一的时代了吗?就目前这个势头,红伞目前说查杀第二,那个敢说是第一,要是再OEM个GD或者咖啡的主防,我可以说几乎无敌?
ELOHIM
发表于 2018-6-12 21:40:22 | 显示全部楼层
解压,msmpeng.exe将其提示为 Trojan:Win32/Bitrep.A
挚爱HNL
 楼主| 发表于 2018-6-12 21:48:35 | 显示全部楼层
火绒误报了Memory.exe(这个是cmd刷屏)
病毒库:2018-06-12 15:34
开始时间:2018-06-12 21:47
总计用时:00:00:01
扫描对象:12个
扫描文件:12个
发现风险:1个
已处理风险:1个
发现系统修复项:0个
处理系统修复项:0个

病毒详情

风险路径:H:\病毒样本~\System Destroyer\Memory.exe, 病毒名:Trojan/Generic!AC38D23EFC84847B, 病毒ID:[ac38d23efc84847b], 处理结果:已处理
BBCALL
发表于 2018-6-12 21:49:02 | 显示全部楼层
Antivirus Pro
报告文件日期: 2018-06-12 21:46:45

扫描开始时间: 2018-06-12 21:46:46
06/12/2018,21-46-56        [INFO]        Cloud SDK 初始化和许可证检查成功.
06/12/2018,21-46-56        [INFO]        文件已通过 Protection Cloud扫描。 SHA256 = d:\downloads\test\booticex64.exe
06/12/2018,21-46-56        [INFO]        文件已通过 Protection Cloud扫描。 SHA256 = d:\downloads\test\booticex86.exe
06/12/2018,21-46-56        [INFO]        文件已通过 Protection Cloud扫描。 SHA256 = d:\downloads\test\drawerror.exe
06/12/2018,21-47-00        [INFO]        FP 报告文件 'd:\downloads\test\memory.exe' 的“无误报”状态
06/12/2018,21-47-00        [INFO]        文件已通过 Protection Cloud扫描。 SHA256 = d:\downloads\test\memory.exe
06/12/2018,21-47-00        [INFO]        d:\downloads\test\memory.exe
06/12/2018,21-47-01        [INFO]        [DETECTION] file contains 'HEUR/APC'
06/12/2018,21-47-18        [INFO]        repair.rdf loaded (version: 1.0.42.4)
06/12/2018,21-47-18        [INFO]        Repair of Generic started.
06/12/2018,21-47-19        [INFO]        Repair of Generic finished successfully.
06/12/2018,21-47-19        [INFO]        Repair of HEUR/APC started.
06/12/2018,21-47-27        [INFO]        Repair of HEUR/APC finished successfully.
06/12/2018,21-47-28        [INFO]        d:\downloads\test\memory.exe
06/12/2018,21-47-28        [INFO]        [ACTION] Clean
wusiyuanjh
发表于 2018-6-12 21:50:28 | 显示全部楼层
本帖最后由 wusiyuanjh 于 2018-6-12 22:10 编辑

卡巴拉黑memory.exe,双击System Destroyer.exe过了卡巴,mbr被改,重启进不了系统
挚爱HNL
 楼主| 发表于 2018-6-12 21:59:31 | 显示全部楼层

火绒也拉黑memory.exe,是个cmd刷屏的
www-tekeze
发表于 2018-6-12 22:03:25 | 显示全部楼层
现在用的10系统,虚拟机是装在7系统里,就懒得重启了,沙盘里测下吧,情况如下:

1. Memory.exe 已被火绒拉黑,沙盘里无法运行,估计是会加驱的原因。
2. drawerror.exe 运行后很好玩,鼠标变成。。。自己看吧,其它破坏行为暂时未发现,算joke类吧。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2018-6-12 22:07:27 | 显示全部楼层
www-tekeze 发表于 2018-6-12 22:03
现在用的10系统,虚拟机是装在7系统里,就懒得重启了,沙盘里测下吧,情况如下:

1. Memory.exe 已被火 ...

最厉害的是System Destroyer.exe,真要中招估计就彻底玩完了。。    还有三个cmd窗口,不截图了。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ELOHIM
发表于 2018-6-12 22:11:27 | 显示全部楼层
www-tekeze 发表于 2018-6-12 22:07
最厉害的是System Destroyer.exe,真要中招估计就彻底玩完了。。    还有三个cmd窗口,不截图了。 ...

将电脑 -1s  是什么意思?
www-tekeze
发表于 2018-6-12 22:16:14 | 显示全部楼层
ELOHIM 发表于 2018-6-12 22:11
将电脑 -1s  是什么意思?

是个什么梗我也不懂,网络用语? 从作者说的来看是个硬盘炸弹,比硬盘逻辑锁还厉害。。
ELOHIM
发表于 2018-6-12 22:18:59 | 显示全部楼层
www-tekeze 发表于 2018-6-12 22:16
是个什么梗我也不懂,网络用语? 从作者说的来看是个硬盘炸弹,比硬盘逻辑锁还厉害。。

+1s 续命一秒。
-1s 那就是短命一秒。。

。老了老了老了,玩不过了。。。。
www-tekeze
发表于 2018-6-12 22:28:24 | 显示全部楼层
ELOHIM 发表于 2018-6-12 22:18
+1s 续命一秒。
-1s 那就是短命一秒。。

单纯硬盘逻辑锁没什么了不起,进入PE用DG就能破,但硬盘炸弹会写你的MBR,事先必须做得有分区表备份、MBR备份,只能用备份数据恢复,否则就重新分区吧,什么都没了,跟刚买的新硬盘一样。。
玩电脑马上就二十年了,对分区表做备份的习惯起码有十五年了吧。。    截图是我三个硬盘的分区表备份。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ELOHIM
发表于 2018-6-12 22:30:26 | 显示全部楼层
www-tekeze 发表于 2018-6-12 22:28
单纯硬盘逻辑锁没什么了不起,进入PE用DG就能破,但硬盘炸弹会写你的MBR,事先必须做得有分区表备份、MBR ...

你这个习惯,跟你的行为有关吧。
我从来没有备份分区表的习惯。


你这是双击了多少样本啊,莫非是病毒分析师?
www-tekeze
发表于 2018-6-12 22:42:44 | 显示全部楼层
ELOHIM 发表于 2018-6-12 22:30
你这个习惯,跟你的行为有关吧。
我从来没有备份分区表的习惯。

没有的事。。。2002年附近,在我一个同学开的电脑店里帮忙 (纯帮忙,兴趣爱好所在,我本身学的也是应用电子),大约干了二年半,后来到工地去了,那段时间我亲手组装的兼容机都有几百台,包括软件方面会经常用些底层工具,要帮人家装机啊,反正很多习惯都是那时养成的。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2018-8-22 06:16 , Processed in 0.054752 second(s), 4 queries , MemCache On.

快速回复 返回顶部 返回列表