一个改mbr的病毒...

显示全部楼层 · 发表于 2018-6-12 20:32:23

本帖最后由挚爱HNL 于 2018-6-12 21:39 编辑

链接: https://pan.baidu.com/s/1a2MYVgLKSt0Li3S4X_nrqg 密码: 3mmw
来源：B站：The_Void工作室（自制）

显示全部楼层 · 发表于 2018-6-13 12:14:55

大家好，我是病毒的作者，有什么建议可以在这里反馈，最新版链接：https://pan.baidu.com/s/1F0cgm_CdgsWfjpo-J6pJ4g
其实也不算什么更新，只是移除了Memory.exe，因为这个程序处于未使用状态（这个程序的作者也是我）打开病毒只需打开System Destoryer.exe即可
下面把病毒发作过程说一下

第一阶段：开始本阶段时首先修改MBR，然后创建记事本并打开，没有其他症状，150秒后进入第二阶段
第二阶段：每隔3秒打开cmd、IE、注册表编辑器中随机一个窗口，60秒后进入第三阶段
第三阶段：除第二阶段症状以外，每隔4秒打开一个类似MEMZ弹窗的vbs弹窗，且无法关闭，60秒后进入第四阶段
第四阶段：除第二、三阶段症状以外，每秒打开一个cmd窗口，30秒后进入第五阶段
第五阶段：开始时直接执行mountvol c:\ /d（删除c盘装入点，相当于移除c盘）
病毒演示视频链接:https://www.bilibili.com/video/av24547628

显示全部楼层 · 发表于 2018-6-12 20:38:07

本帖最后由 761773275 于 2018-6-12 20:40 编辑

病毒: Trojan.Generic.22985433 (引擎A)

嘗試開啟已感染檔案。

檔案: Memory.exe
資料夾: C:\Users\19285\AppData\Local\Temp\7zE8DFC1ABF\System Destroyer

显示全部楼层 · 发表于 2018-6-12 20:45:39

过迈克菲扫描
双击主防杀
DRAWERROR.EXE 报Real Protect-LS!a4b655c4580f
DESTROYER.EXE Real Protect-LS!38e93d542f64

显示全部楼层 · 发表于 2018-6-12 21:05:22

To ESET.

显示全部楼层 · 发表于 2018-6-12 21:27:20

如果这种样本过了红伞扫描，结局就是死亡

虽然红伞查杀高我还是不会用

显示全部楼层 · 发表于 2018-6-12 21:33:39

，就一个. 发表于 2018-6-12 21:27
如果这种样本过了红伞扫描，结局就是死亡虽然红伞查杀高我还是不会用

怎么说？

显示全部楼层 · 发表于 2018-6-12 21:39:05

杰伦Ｊ时代发表于 2018-6-12 21:33
怎么说？

没主防硬伤啊如果过了就是过了没有后续了但是以目前红伞这个状态我可以说是又回到了当年查杀率第一的时代了吗？就目前这个势头，红伞目前说查杀第二，那个敢说是第一，要是再OEM个GD或者咖啡的主防，我可以说几乎无敌？

显示全部楼层 · 发表于 2018-6-12 21:40:22

解压，msmpeng.exe将其提示为 Trojan:Win32/Bitrep.A

显示全部楼层 · 发表于 2018-6-12 21:48:35

火绒误报了Memory.exe（这个是cmd刷屏）
病毒库：2018-06-12 15:34
开始时间：2018-06-12 21:47
总计用时：00:00:01
扫描对象：12个
扫描文件：12个
发现风险：1个
已处理风险：1个
发现系统修复项：0个
处理系统修复项：0个

病毒详情

风险路径：H:\病毒样本~\System Destroyer\Memory.exe, 病毒名：Trojan/Generic!AC38D23EFC84847B, 病毒ID：[ac38d23efc84847b], 处理结果：已处理

显示全部楼层 · 发表于 2018-6-12 21:49:02

Antivirus Pro
报告文件日期： 2018-06-12 21:46:45

扫描开始时间： 2018-06-12 21:46:46
06/12/2018,21-46-56 [INFO] Cloud SDK 初始化和许可证检查成功.
06/12/2018,21-46-56 [INFO] 文件已通过 Protection Cloud扫描。 SHA256 = d:\downloads\test\booticex64.exe
06/12/2018,21-46-56 [INFO] 文件已通过 Protection Cloud扫描。 SHA256 = d:\downloads\test\booticex86.exe
06/12/2018,21-46-56 [INFO] 文件已通过 Protection Cloud扫描。 SHA256 = d:\downloads\test\drawerror.exe
06/12/2018,21-47-00 [INFO] FP 报告文件 'd:\downloads\test\memory.exe' 的“无误报”状态
06/12/2018,21-47-00 [INFO] 文件已通过 Protection Cloud扫描。 SHA256 = d:\downloads\test\memory.exe
06/12/2018,21-47-00 [INFO] d:\downloads\test\memory.exe
06/12/2018,21-47-01 [INFO] [DETECTION] file contains 'HEUR/APC'
06/12/2018,21-47-18 [INFO] repair.rdf loaded (version: 1.0.42.4)
06/12/2018,21-47-18 [INFO] Repair of Generic started.
06/12/2018,21-47-19 [INFO] Repair of Generic finished successfully.
06/12/2018,21-47-19 [INFO] Repair of HEUR/APC started.
06/12/2018,21-47-27 [INFO] Repair of HEUR/APC finished successfully.
06/12/2018,21-47-28 [INFO] d:\downloads\test\memory.exe
06/12/2018,21-47-28 [INFO] [ACTION] Clean

[病毒样本] 一个改mbr的病毒...