搜索
查看: 6466|回复: 82
收起左侧

[病毒样本] 一个改mbr的病毒...

  [复制链接]
挚爱HNL
发表于 2018-6-12 20:32:23 | 显示全部楼层 |阅读模式
本帖最后由 挚爱HNL 于 2018-6-12 21:39 编辑

链接: https://pan.baidu.com/s/1a2MYVgLKSt0Li3S4X_nrqg 密码: 3mmw
来源:B站:The_Void工作室(自制)

The_Void
发表于 2018-6-13 12:14:55 | 显示全部楼层
大家好,我是病毒的作者,有什么建议可以在这里反馈,最新版链接:https://pan.baidu.com/s/1F0cgm_CdgsWfjpo-J6pJ4g
其实也不算什么更新,只是移除了Memory.exe,因为这个程序处于未使用状态(这个程序的作者也是我)打开病毒只需打开System Destoryer.exe即可
下面把病毒发作过程说一下

第一阶段:开始本阶段时首先修改MBR,然后创建记事本并打开,没有其他症状,150秒后进入第二阶段
第二阶段:每隔3秒打开cmd、IE、注册表编辑器中随机一个窗口,60秒后进入第三阶段
第三阶段:除第二阶段症状以外,每隔4秒打开一个类似MEMZ弹窗的vbs弹窗,且无法关闭,60秒后进入第四阶段
第四阶段:除第二、三阶段症状以外,每秒打开一个cmd窗口,30秒后进入第五阶段
第五阶段:开始时直接执行mountvol c:\ /d(删除c盘装入点,相当于移除c盘)
病毒演示视频链接:https://www.bilibili.com/video/av24547628
761773275
发表于 2018-6-12 20:38:07 | 显示全部楼层
本帖最后由 761773275 于 2018-6-12 20:40 编辑

病毒: Trojan.Generic.22985433 (引擎A)

嘗試開啟已感染檔案。

檔案: Memory.exe
資料夾: C:\Users\19285\AppData\Local\Temp\7zE8DFC1ABF\System Destroyer
,就一个.
发表于 2018-6-12 20:45:39 | 显示全部楼层
过迈克菲扫描
双击主防杀
DRAWERROR.EXE 报Real Protect-LS!a4b655c4580f
DESTROYER.EXE  Real Protect-LS!38e93d542f64
humanlwj52
发表于 2018-6-12 21:05:22 | 显示全部楼层
To ESET.
,就一个.
发表于 2018-6-12 21:27:20 | 显示全部楼层
如果这种样本过了红伞扫描,结局就是死亡 虽然红伞查杀高 我还是不会用
杰伦J时代
发表于 2018-6-12 21:33:39 | 显示全部楼层
,就一个. 发表于 2018-6-12 21:27
如果这种样本过了红伞扫描,结局就是死亡 虽然红伞查杀高 我还是不会用

怎么说?
,就一个.
发表于 2018-6-12 21:39:05 | 显示全部楼层

没主防硬伤啊 如果过了就是过了 没有后续了 但是以目前红伞这个状态 我可以说是又回到了当年查杀率第一的时代了吗?就目前这个势头,红伞目前说查杀第二,那个敢说是第一,要是再OEM个GD或者咖啡的主防,我可以说几乎无敌?
ELOHIM
发表于 2018-6-12 21:40:22 | 显示全部楼层
解压,msmpeng.exe将其提示为 Trojan:Win32/Bitrep.A
挚爱HNL
 楼主| 发表于 2018-6-12 21:48:35 | 显示全部楼层
火绒误报了Memory.exe(这个是cmd刷屏)
病毒库:2018-06-12 15:34
开始时间:2018-06-12 21:47
总计用时:00:00:01
扫描对象:12个
扫描文件:12个
发现风险:1个
已处理风险:1个
发现系统修复项:0个
处理系统修复项:0个

病毒详情

风险路径:H:\病毒样本~\System Destroyer\Memory.exe, 病毒名:Trojan/Generic!AC38D23EFC84847B, 病毒ID:[ac38d23efc84847b], 处理结果:已处理
BBCALL
发表于 2018-6-12 21:49:02 | 显示全部楼层
Antivirus Pro
报告文件日期: 2018-06-12 21:46:45

扫描开始时间: 2018-06-12 21:46:46
06/12/2018,21-46-56        [INFO]        Cloud SDK 初始化和许可证检查成功.
06/12/2018,21-46-56        [INFO]        文件已通过 Protection Cloud扫描。 SHA256 = d:\downloads\test\booticex64.exe
06/12/2018,21-46-56        [INFO]        文件已通过 Protection Cloud扫描。 SHA256 = d:\downloads\test\booticex86.exe
06/12/2018,21-46-56        [INFO]        文件已通过 Protection Cloud扫描。 SHA256 = d:\downloads\test\drawerror.exe
06/12/2018,21-47-00        [INFO]        FP 报告文件 'd:\downloads\test\memory.exe' 的“无误报”状态
06/12/2018,21-47-00        [INFO]        文件已通过 Protection Cloud扫描。 SHA256 = d:\downloads\test\memory.exe
06/12/2018,21-47-00        [INFO]        d:\downloads\test\memory.exe
06/12/2018,21-47-01        [INFO]        [DETECTION] file contains 'HEUR/APC'
06/12/2018,21-47-18        [INFO]        repair.rdf loaded (version: 1.0.42.4)
06/12/2018,21-47-18        [INFO]        Repair of Generic started.
06/12/2018,21-47-19        [INFO]        Repair of Generic finished successfully.
06/12/2018,21-47-19        [INFO]        Repair of HEUR/APC started.
06/12/2018,21-47-27        [INFO]        Repair of HEUR/APC finished successfully.
06/12/2018,21-47-28        [INFO]        d:\downloads\test\memory.exe
06/12/2018,21-47-28        [INFO]        [ACTION] Clean
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-1-21 10:25 , Processed in 0.048785 second(s), 7 queries , MemCache On.

快速回复 返回顶部 返回列表