本人用虛擬機開引誘病毒環境,結果....

a7878330

www-tekeze 发表于 2018-9-28 22:18
火绒miss，智量kill 。

這隻病毒是哪種類型的??????

www-tekeze

www-tekeze 发表于 2018-9-28 22:18
火绒miss，智量kill 。

调用cmd，释放了三个文件，一个图片，一首歌，还有个冒牌的smss.exe，火绒、智量均miss 。。
PS：那首歌连听了三遍，非常优美！

YU2711

Trend Micro

1. 安全威脅:        HEU_FALCONTroj.Win32.Gen.XXBM100FF004R0001
   
2. 來源類型:        安全威脅
   
3. 受影響的檔案:        C:\Users\diakov\Downloads\Compressed\樣本\陔崝揃蹋\explorer.exe
   
4. 處理行動:        已移除
   
5. 偵測方式:        即時掃瞄
   
6. 安全威脅:        HEU_CDPLC016
   
7. 來源類型:        安全威脅
   
8. 受影響的檔案:        C:\Users\USER\AppData\Local\Temp\B3C9.tmp
   
9. 處理行動:        已移除
   
10. 偵測方式:        關聯掃瞄
    
11. 安全威脅:        HEU_CDPLC016
    
12. 來源類型:        安全威脅
    
13. 受影響的檔案:        C:\Users\USER\AppData\Local\Temp\B3C9.tmp\explorer.bat
    
14. 處理行動:        已移除
    
15. 偵測方式:        關聯掃瞄

复制代码

www-tekeze

a7878330 发表于 2018-9-28 22:35
這隻病毒是哪種類型的??????

搞破坏但具体不清楚。。。首先是自动打开音频播放器，放那首小日本的歌 (不过确实好听已收藏)，当歌曲放完或是你关闭播放器，就会弹出那幅图片，当关闭后隔一会有个smss.exe的出错窗口，来不及截图就蓝屏了。。。我是在影子里试的，没影子的话重启后不清楚，但没联网也没添加自启项，所以详细不清楚。。。

PS：如果系统自身的smss.exe被那个冒牌的替换，我相信无法启动了，但作者能得到什么好处呢？ 也没锁机搞勒索啊，就只是搞破坏？？

ziyerain2015

没装播放器换个虚拟机听歌去，并没有被勒索。。运行不起来垃圾！

静影沉璧

https://bbs.kafan.cn/thread-2131179-1-1.html
该样本和上面这个链接里的有某些相似之处有可能是XiaoBa的

www-tekeze

ziyerain2015 发表于 2018-9-28 23:18
没装播放器换个虚拟机听歌去，并没有被勒索。。运行不起来垃圾！

我是实机影子里，看到的就是这个smss.exe出错窗口，来不及截图就蓝屏了，也许作者这个冒牌货有bug 。。

ziyerain2015

www-tekeze 发表于 2018-9-28 23:21
我是实机影子里，看到的就是这个smss.exe出错窗口，来不及截图就蓝屏了，也许作者这个冒牌货有bug 。。[: ...

不停的在运行SMSS这个文件吧，后面会卡，装了4个防勒索的，没一个跳的反正没看见被锁文件

ziyerain2015

换了个虚拟机被FSP干掉了又没歌听了。。

www-tekeze

静影沉璧 发表于 2018-9-28 23:21
https://bbs.kafan.cn/thread-2131179-1-1.html
该样本和上面这个链接里的有某些相似之处有可能是Xi ...

估计是XiaoBao的，但只是图片一样，行为完全不同，那个火绒扫描也被过，但双击主防直接报勒索，这个没什么动作。