一个改mbr的病毒...

www-tekeze

hhjjjjjj123 发表于 2018-6-13 15:37

编辑下吧，纯表回复小心被扣分。。

The_Void

www-tekeze 发表于 2018-6-13 13:13
你好，昨晚在虚拟机里试过：

1. Memory.exe无法运行，装的Win8.1 x86，我还以为得在64位系统里。 之前 ...

1.Memory.exe虽然未使用，但本身是有效的程序，您的无法运行原因不明，win7正常
2.刷屏cmd如果在随机弹窗开始的不久就出现可能是卡了，导致几次弹窗在短时间内出现，没看见IE可能是随机抽取没有抽到IE，刷屏cmd正常是在随机弹窗开始后大约2分钟出现的
3.不破坏分区表，只破坏MBR，但是从计时器开始计时（即出现2个一闪而过的cmd弹窗）后5分钟会弹出c盘分区（破坏C盘所有数据），在弹出c盘分区后想恢复就要修复分区表了

杰伦Ｊ时代

，就一个. 发表于 2018-6-12 21:39
没主防硬伤啊 如果过了就是过了 没有后续了 但是以目前红伞这个状态 我可以说是又回到了当年查杀率第一的 ...

别小看360卫士

www-tekeze

The_Void 发表于 2018-6-13 17:18
1.Memory.exe虽然未使用，但本身是有效的程序，您的无法运行原因不明，win7正常
2.刷屏cmd如果在随机弹 ...

1. 你说Win7正常，是64位的吧，32位系统有问题，你可以试下。

2. 看过你的批处理了，你本身设计确实是这样，可能我机器有点老了，又是在虚拟机里性能也会受到些影响。

if %a% LSS 5000 start explorer "about:blank"
if %a% GTR 5000 if %a% LSS 10000 start C:\Windows\regedit.exe
if %a% GTR 10000 if %a% LSS 15000 start cmd.exe
if %a% GTR 15000 goto 1

3. 用的BOOTICE来重写MBR，你也准备了个文件，但怎么没后缀名，应该是bin才对啊。

BOOTICEx64 /device=C: /mbr /restore  /file=MBR /keep_dpt /quiet
BOOTICEx86 /device=C: /mbr /restore  /file=MBR /keep_dpt /quiet

弹出C盘并删除装入点用的命令是： mountvol C:\ /d

The_Void

www-tekeze 发表于 2018-6-13 19:46
1. 你说Win7正常，是64位的吧，32位系统有问题，你可以试下。

2. 看过你的批处理了，你本身设计确实是 ...

1.我确实是64位，虚拟机和实体机都一样，我创建文件的时候应该是创建了64位的程序，时间比较长，记不太清了
2.我在虚拟机里是正常的，只是drawerror失效，你可能是配置问题
3.bootice不需要后缀，所以我就没设置后缀名

The_Void

www-tekeze 发表于 2018-6-13 19:46
1. 你说Win7正常，是64位的吧，32位系统有问题，你可以试下。

2. 看过你的批处理了，你本身设计确实是 ...

具体你可以看一下我的视频，全过程的

，就一个.

杰伦Ｊ时代 发表于 2018-6-13 19:41
别小看360卫士

话里有内容

www-tekeze

The_Void 发表于 2018-6-13 20:50
1.我确实是64位，虚拟机和实体机都一样，我创建文件的时候应该是创建了64位的程序，时间比较长，记不太清 ...

1. drawerror没失效，鼠标光标变了。

2. 我的MBR就是用BOOTICE备份的，版本和你一样，1.3.3版，后缀名就是bin，你的没后缀restore也运行不了啊。

3. 最终C盘被删了，关机都关不了。

www-tekeze

The_Void 发表于 2018-6-13 20:51
具体你可以看一下我的视频，全过程的

好的，多放几个样本出来玩玩哈。。。最后说一句，多到卡饭来玩！  

81893

有人尝试过SYMANTEC吗