完美启动.exe好像是锁机

显示全部楼层 · 发表于 2018-9-29 11:20:44

www-tekeze 发表于 2018-9-29 11:15
没危险？看14楼，在MBR动手，修改账户、添加自启等等，出来那个V剑客桌面后就被锁机了。。

PS ...

呃呃，好吧我没看到，可能是反虚拟机导致哈勃没查出来吧

显示全部楼层 · 发表于 2018-9-29 11:31:07

www-tekeze 发表于 2018-9-29 11:12
哦，没反VBox，但一般都是同时反两者，这个比较特殊吧。。。是加了壳但信息不清。

我没说错。VMP壳。

显示全部楼层 · 发表于 2018-9-29 11:42:15

夜轩寒月发表于 2018-9-29 11:20
呃呃，好吧我没看到，可能是反虚拟机导致哈勃没查出来吧

单纯反虚拟机也骗不了哈勃 (但会有影响)，是加了多层壳当中还有VMP，估计这是主要原因。

显示全部楼层 · 发表于 2018-9-29 11:43:37

帝辛发表于 2018-9-29 11:31
我没说错。VMP壳。

应该是多层壳、混合壳，当中确实有VMP，否则文件哪会有18MB，只是些命令行外加那个V剑客图片，原始文件1.8MB就差不多了。

显示全部楼层 · 发表于 2018-9-29 12:00:47

www-tekeze 发表于 2018-9-29 11:42
单纯反虚拟机也骗不了哈勃 (但会有影响)，是加了多层壳当中还有VMP，估计这是主要原因。

嗯，看来是了，不过这人是有多闲，做这种东西

显示全部楼层 · 发表于 2018-9-29 12:17:30

夜轩寒月发表于 2018-9-29 12:00
嗯，看来是了，不过这人是有多闲，做这种东西

V剑客头像那有QQ号，锁机搞勒索要钱呗。。

显示全部楼层 · 发表于 2018-9-29 12:25:20

www-tekeze 发表于 2018-9-29 12:17
V剑客头像那有QQ号，锁机搞勒索要钱呗。。

看到了，，，这种软件也出来要钱么。。。分分钟解除啊

显示全部楼层 · 发表于 2018-9-29 12:47:38

www-tekeze 发表于 2018-9-29 11:43
应该是多层壳、混合壳，当中确实有VMP，否则文件哪会有18MB，只是些命令行外加那个V剑客图片，原始文件 ...

VMP带代码混淆加虚拟化。弄成BT虚拟化模式。就有要大个几兆。而且VMP很难多套壳。除非是压缩壳

显示全部楼层 · 发表于 2018-9-30 00:40:14

VES 8.8扫描正常,晕

显示全部楼层 · 发表于 2018-9-30 18:19:33

这个加密mbr,修改系统，要密码登陆，不是平常的密码登陆。中了只能重装了。

[病毒样本] 完美启动.exe好像是锁机