一个改mbr的病毒...

The_Void

大家好，我是病毒的作者，有什么建议可以在这里反馈，最新版链接：https://pan.baidu.com/s/1F0cgm_CdgsWfjpo-J6pJ4g
其实也不算什么更新，只是移除了Memory.exe，因为这个程序处于未使用状态（这个程序的作者也是我）打开病毒只需打开System Destoryer.exe即可
下面把病毒发作过程说一下

第一阶段：开始本阶段时首先修改MBR，然后创建记事本并打开，没有其他症状，150秒后进入第二阶段
第二阶段：每隔3秒打开cmd、IE、注册表编辑器中随机一个窗口，60秒后进入第三阶段
第三阶段：除第二阶段症状以外，每隔4秒打开一个类似MEMZ弹窗的vbs弹窗，且无法关闭，60秒后进入第四阶段
第四阶段：除第二、三阶段症状以外，每秒打开一个cmd窗口，30秒后进入第五阶段
第五阶段：开始时直接执行mountvol c:\ /d（删除c盘装入点，相当于移除c盘）
病毒演示视频链接:https://www.bilibili.com/video/av24547628

心醉咖啡

www-tekeze 发表于 2018-6-12 23:04
看你发言经常是“毒霸扫描miss”，干嘛不换一个呢，能说说吗？

之前360.腾讯。毒霸。火绒一直换，换一次就重装一次系统，现在厌了，凑活用吧，不爱折腾了

goodabc

路过，高手啊。

www-tekeze

pal家族 发表于 2018-6-13 12:04
你确定eset没有这个功能？我没有仔细研究过，不过卡巴肯定是有的。

这个选项在哪里？ 前段时间试装过ESET，没看到啊， 就算有吧，但你之前说的话，把HIPS和这个选项扯到一块，让人误以为自己可以用规则来写，那这个规则要如何写？  

www-tekeze

The_Void 发表于 2018-6-13 12:14
大家好，我是病毒的作者，有什么建议可以在这里反馈，最新版链接：https://pan.baidu.com/s/1F0cgm_CdgsWfj ...

你好，昨晚在虚拟机里试过：

1. Memory.exe无法运行，装的Win8.1 x86，我还以为得在64位系统里。 之前实机里试，虽然是64位但沙盘里也无法运行，我误以为需要加驱。

2. System Destoryer.exe运行情况和你说的相同，二分半后出现注册表编辑器，然后cmd窗口疯狂刷屏，但没看到IE窗口。 另外会调用drawerror.exe改鼠标光标。

3. 你这个没有写DPT硬盘分区表吧，那没有分区表备份，只用DG也能恢复，是这样吧？

www-tekeze

心醉咖啡 发表于 2018-6-13 12:45
之前360.腾讯。毒霸。火绒一直换，换一次就重装一次系统，现在厌了，凑活用吧，不爱折腾了

怎么会这样，不至于啊，大不了装完系统后做个Ghost备份，不爽的话分分钟就还原。。

pal家族

www-tekeze 发表于 2018-6-13 13:04
这个选项在哪里？ 前段时间试装过ESET，没看到啊， 就算有吧，但你之前说的话，把HIPS和这个选项扯到一块 ...

https://bbs.kafan.cn/forum.php?m ... page=12#pid42107103
120L自己看吧
direct access to disk

www-tekeze

pal家族 发表于 2018-6-13 14:32
https://bbs.kafan.cn/forum.php?mod=viewthread&tid=2124940&page=12#pid42107103
120L自己看吧
direc ...

看到了，对磁盘的直接访问，反正这个选项得靠厂商提供吧，自己用规则无法写。

pal家族

www-tekeze 发表于 2018-6-13 15:08
看到了，对磁盘的直接访问，反正这个选项得靠厂商提供吧，自己用规则无法写。

厂商不提供病毒库，你还可以自己告诉他该怎么杀吗？
什么规则不是厂商提供接口之后再写出来的？内置规则也是先有拦截能力再添加上规则才有的啊。
杀软的功能~软件提供应用这个功能的接口~你用这些接口写出规则。。。。。。。在想啥呢老铁

www-tekeze

pal家族 发表于 2018-6-13 15:26
厂商不提供病毒库，你还可以自己告诉他该怎么杀吗？
什么规则不是厂商提供接口之后再写出来的？内置规则 ...

好吧，言之有理，毕竟是kafan的大佬。。
刚在影子模式下装了个最新的EIS 11.0.154，文件规则里有。。    有空虚拟机里装个试试，跑几个样本看看。