一个改mbr的病毒...

挚爱HNL

链接: https://pan.baidu.com/s/1a2MYVgLKSt0Li3S4X_nrqg 密码: 3mmw
来源：B站：The_Void工作室（自制）

The_Void

大家好，我是病毒的作者，有什么建议可以在这里反馈，最新版链接：https://pan.baidu.com/s/1F0cgm_CdgsWfjpo-J6pJ4g
其实也不算什么更新，只是移除了Memory.exe，因为这个程序处于未使用状态（这个程序的作者也是我）打开病毒只需打开System Destoryer.exe即可
下面把病毒发作过程说一下

第一阶段：开始本阶段时首先修改MBR，然后创建记事本并打开，没有其他症状，150秒后进入第二阶段
第二阶段：每隔3秒打开cmd、IE、注册表编辑器中随机一个窗口，60秒后进入第三阶段
第三阶段：除第二阶段症状以外，每隔4秒打开一个类似MEMZ弹窗的vbs弹窗，且无法关闭，60秒后进入第四阶段
第四阶段：除第二、三阶段症状以外，每秒打开一个cmd窗口，30秒后进入第五阶段
第五阶段：开始时直接执行mountvol c:\ /d（删除c盘装入点，相当于移除c盘）
病毒演示视频链接:https://www.bilibili.com/video/av24547628

761773275

病毒: Trojan.Generic.22985433 (引擎A)

嘗試開啟已感染檔案。

檔案: Memory.exe
資料夾: C:\Users\19285\AppData\Local\Temp\7zE8DFC1ABF\System Destroyer

，就一个.

过迈克菲扫描
双击主防杀
DRAWERROR.EXE 报Real Protect-LS!a4b655c4580f
DESTROYER.EXE  Real Protect-LS!38e93d542f64

Nocria

To ESET.

，就一个.

如果这种样本过了红伞扫描，结局就是死亡 虽然红伞查杀高 我还是不会用

杰伦Ｊ时代

，就一个. 发表于 2018-6-12 21:27
如果这种样本过了红伞扫描，结局就是死亡 虽然红伞查杀高 我还是不会用

怎么说？

，就一个.

杰伦Ｊ时代 发表于 2018-6-12 21:33
怎么说？

没主防硬伤啊 如果过了就是过了 没有后续了 但是以目前红伞这个状态 我可以说是又回到了当年查杀率第一的时代了吗？就目前这个势头，红伞目前说查杀第二，那个敢说是第一，要是再OEM个GD或者咖啡的主防，我可以说几乎无敌？

ELOHIM

解压，msmpeng.exe将其提示为 Trojan:Win32/Bitrep.A

挚爱HNL

火绒误报了Memory.exe（这个是cmd刷屏）
病毒库：2018-06-12 15:34
开始时间：2018-06-12 21:47
总计用时：00:00:01
扫描对象：12个
扫描文件：12个
发现风险：1个
已处理风险：1个
发现系统修复项：0个
处理系统修复项：0个

病毒详情

风险路径：H:\病毒样本~\System Destroyer\Memory.exe, 病毒名：Trojan/Generic!AC38D23EFC84847B, 病毒ID：[ac38d23efc84847b], 处理结果：已处理

BBCALL

Antivirus Pro
报告文件日期： 2018-06-12 21:46:45

扫描开始时间： 2018-06-12 21:46:46
06/12/2018,21-46-56        [INFO]        Cloud SDK 初始化和许可证检查成功.
06/12/2018,21-46-56        [INFO]        文件已通过 Protection Cloud扫描。 SHA256 = d:\downloads\test\booticex64.exe
06/12/2018,21-46-56        [INFO]        文件已通过 Protection Cloud扫描。 SHA256 = d:\downloads\test\booticex86.exe
06/12/2018,21-46-56        [INFO]        文件已通过 Protection Cloud扫描。 SHA256 = d:\downloads\test\drawerror.exe
06/12/2018,21-47-00        [INFO]        FP 报告文件 'd:\downloads\test\memory.exe' 的“无误报”状态
06/12/2018,21-47-00        [INFO]        文件已通过 Protection Cloud扫描。 SHA256 = d:\downloads\test\memory.exe
06/12/2018,21-47-00        [INFO]        d:\downloads\test\memory.exe
06/12/2018,21-47-01        [INFO]        [DETECTION] file contains 'HEUR/APC'
06/12/2018,21-47-18        [INFO]        repair.rdf loaded (version: 1.0.42.4)
06/12/2018,21-47-18        [INFO]        Repair of Generic started.
06/12/2018,21-47-19        [INFO]        Repair of Generic finished successfully.
06/12/2018,21-47-19        [INFO]        Repair of HEUR/APC started.
06/12/2018,21-47-27        [INFO]        Repair of HEUR/APC finished successfully.
06/12/2018,21-47-28        [INFO]        d:\downloads\test\memory.exe
06/12/2018,21-47-28        [INFO]        [ACTION] Clean