机器狗病毒

显示全部楼层 · 发表于 2018-6-21 23:28:51

随便注册发表于 2018-6-21 23:24
注释里就有，www.ouyaoxiazai.com

我去看看，感谢！

显示全部楼层 · 发表于 2018-6-21 23:38:22

挚爱HNL 发表于 2018-6-21 22:21
火绒miss

楼主，估计你自己都没找到解压密码，那加密包怎么能杀呢。。

上个火绒扫描和双击的，如果是真正的机器狗，当年震惊安软界的，火绒能不入库么？

显示全部楼层 · 发表于 2018-6-21 23:43:50

本帖最后由 dg1vg4 于 2018-6-21 23:48 编辑

文件本身是个被加密的自解压缩文件，所以扫描不出什么，等到里面的orz.exe解压出来，马上就是一堆报毒了

https://s.threatbook.cn/report/f ... p1_enx86_office2013 https://s.threatbook.cn/report/f ... p1_enx86_office2013

https://www.virustotal.com/#/fil ... d09da7a3d/detection

显示全部楼层 · 发表于 2018-6-21 23:45:24

www-tekeze 发表于 2018-6-21 23:38
楼主，估计你自己都没找到解压密码，那加密包怎么能杀呢。。

上个火绒扫描和双击的，如果是真正 ...

火绒报的Dogrobot，相信是真的机器狗，等我虚拟机里试下，能穿影子么？

PS：我跑过“鬼影7”，也不可能穿影子的，所以十年前的机器狗怎么能穿呢，闲着没事跑个玩玩吧。。

显示全部楼层 · 发表于 2018-6-22 00:21:26

www-tekeze 发表于 2018-6-21 23:45
火绒报的Dogrobot，相信是真的机器狗，等我虚拟机里试下，能穿影子么？
PS：我跑过“鬼影7”，也 ...

放心跑，我已经在360沙箱里试过了

目前没有卵事，当然，也许今晚关了机，明天你就见不到我了

显示全部楼层 · 发表于 2018-6-22 00:21:41

MSE miss

显示全部楼层 · 发表于 2018-6-22 00:24:30

本帖最后由 www-tekeze 于 2018-6-22 00:55 编辑

www-tekeze 发表于 2018-6-21 23:45
火绒报的Dogrobot，相信是真的机器狗，等我虚拟机里试下，能穿影子么？
PS：我跑过“鬼影7”，也 ...

呵呵，是个货真价实的机器狗，为观察行为先在沙盘里跑一下，但加驱时被沙盘阻止，无奈直接双击吧，部分图是沙盘里的，所以时间不一致，请无视) 。。

双击后删除自身，然后释放文件隐藏到Temp目录里，而beep.sys就是机器狗著名的驱动，是不是中了机器狗，第一步就是检查Drivers目录里这个驱动是否被篡改。。

重启后消失得干干净净，毕竟是十年前的了，当年出来后SD在3、5天内就做了修复，所以想穿目前版本的影子，那怎么可能呢？

显示全部楼层 · 发表于 2018-6-22 00:30:08

終極小壞蛋发表于 2018-6-22 00:21
放心跑，我已经在360沙箱里试过了
目前没有卵事，当然，也许今晚关了机，明天你就见不到我了[:352 ...

放到沙箱里加不了驱，没多少事。。。毕竟是十年前的了，动作够多，连映像劫持都有，这不是明摆着想免杀？动作太多了，火绒的系统加固就可以轻松拦截，当然，如果是小白的话就不说了。。

显示全部楼层 · 发表于 2018-6-22 00:32:23

Geralt 发表于 2018-6-22 00:21
MSE miss

不可能吧，解压了么？这么有名的病毒MSE怎么可能miss 。。

显示全部楼层 · 发表于 2018-6-22 10:12:59

www-tekeze 发表于 2018-6-22 00:24
呵呵，是个货真价实的机器狗，为观察行为先在沙盘里跑一下，但加驱时被沙盘阻止，无奈直接双击吧，部分图 ...

我觉得测主防还是要看默认开关勾选。能反映真实实况，毕竟大多数用户只会用默认的。加驱默认放过样本大有可为

[病毒样本] 机器狗病毒