收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 永恒之绿.exe
12345下一页
返回列表 发新帖
楼主: 迷惘的执著
 收起左侧

[病毒样本] 永恒之绿.exe

[复制链接]
Kaspersky用户
发表于 2018-10-4 11:42:49 | 显示全部楼层
本帖最后由 Kaspersky用户 于 2018-10-4 11:48 编辑

BDF扫描MISS
沙盘运行几秒后触发ATC将其击杀,BDF监控干掉一个衍生EXE。

回复

举报

yjwfdc
头像被屏蔽
发表于 2018-10-4 11:48:22 | 显示全部楼层
BE_HC 发表于 2018-10-4 11:35
本人在32位操作系统下无此文件夹
所以由此结论

原来这样,

没用hips测试,不知道能不能骗过hips。

其实易语言什么都可以做到的,看编写者的技术了,电脑速度卫士也是易语言编写的。
回复

举报

BE_HC
发表于 2018-10-4 12:06:41 | 显示全部楼层
yjwfdc 发表于 2018-10-4 11:48
原来这样,

没用hips测试,不知道能不能骗过hips。

膜拜一下julao
回复

举报

yjwfdc
头像被屏蔽
发表于 2018-10-4 12:17:41 | 显示全部楼层
BE_HC 发表于 2018-10-4 12:06
膜拜一下julao

不懂julao是什么意思,害我百度了半天,还是未明白。
回复

举报

BE_HC
发表于 2018-10-4 12:31:24 | 显示全部楼层
yjwfdc 发表于 2018-10-4 12:17
不懂julao是什么意思,害我百度了半天,还是未明白。

dalao<julao

其实就是很厉害的人惹
回复

举报

www-tekeze
发表于 2018-10-4 13:01:09 | 显示全部楼层
BE_HC 发表于 2018-10-4 11:35
本人在32位操作系统下无此文件夹
所以由此结论

没骗过火绒的系统加固,启动项有两种,第一个是32位系统里的,被注册表保护拦截,第二个是64位系统里的,被文件保护拦截。。。阻止后还是被全屏锁屏,但强行重启后什么事也没有。。   没这个启动项也就没危害了。。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

BE_HC
发表于 2018-10-4 13:03:43 | 显示全部楼层
www-tekeze 发表于 2018-10-4 13:01
没骗过火绒的系统加固,启动项有两种,第一个是32位系统里的,被注册表保护拦截,第二个是64位系统里的, ...

难道还是MD厉害些,没记错x32下就算加了注册表启动也没用,毕竟文件都没生成
回复

举报

www-tekeze
发表于 2018-10-4 13:19:26 | 显示全部楼层
BE_HC 发表于 2018-10-4 13:03
难道还是MD厉害些,没记错x32下就算加了注册表启动也没用,毕竟文件都没生成

X86系统里实体文件释放在哪不清楚,火绒没拦住,X64里释放文件时选择允许的话,还会有第二个拦截窗口,就是注册表那个,也就是说创建了两种启动项。。。把这个Syste2.exe放上来,大家试试,智量可以杀。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

BE_HC
发表于 2018-10-4 13:28:44 | 显示全部楼层
本帖最后由 BE_HC 于 2018-10-4 13:30 编辑
www-tekeze 发表于 2018-10-4 13:19
X86系统里实体文件释放在哪不清楚,火绒没拦住,X64里释放文件时选择允许的话,还会有第二个拦截窗口,就 ...

看了看本质还是挺像的

Emsisoft Anti-Malware Scan KILL
---------------
以下由PortEX-Master自动生成

StringFileInfo
---------------
language ID: 0x0804
code page: 0x04B0
FileVersion: 1.0.0.0
FileDescription: 易语言程序
ProductName: 永恒之绿
ProductVersion: 1.0.0.0
CompanyName: 永恒之绿
LegalCopyright: 永恒之绿 版权所有
Comments: 本程序使用易语言编写(http://www.eyuyan.com)


PEID Signatures
***************

[Microsoft Visual C++ v6.0] bytes matched: 32 at address: 0x6f982
pattern:  55 8b ec 6a ff 68 ?? ?? ?? 00 68 ?? ?? ?? 00 64 a1 00 00 00 00 50 64 89 25 00 00 00 00 83 ec ?? 53 56 57 89 65 e8 ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ?? ff

Hashes
******

MD5:    c38fd3a9139b9fc18321ba33f1e3dbb8
SHA256: a92796b7d6be87e3f879a187fd1a496c365b9d67503baa67b5efc018cac83be1

Section      Type      Hash Value                                                      
---------------------------------------------------------------------------------------
1. .text     MD5       a6e0a98dd217473796c383d4ce8ab585                                
             SHA256    c5a66eff601c172b31220314d1c90a47c7e84ad56e0e8eb0484ef5d6e8773a8f
2. .rdata    MD5       9e7bcfb7ac7951b67da9f831a0dd843a                                
             SHA256    c9a8c14475e07ab01f1f415fef949917dfa7d26c7e6f9854a8d3b9e6338f823e
3. .data     MD5       403d2db48b5f28d7b291cdd053ea732e                                
             SHA256    fa72be0899470366daf703e9b1ac9ec0a44f2109c865e867a4be3c69f51da907
4. .rsrc     MD5       2641c1f09f4faa8f68670c198510bc85                                
             SHA256    8d2e176aa728a1d80d751f07428eaae8814bedbc5a8025fc7eadbc7fd9827a48


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

浅暮、浅离
发表于 2018-10-4 13:34:59 | 显示全部楼层
小蜘蛛杀!!!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

下一页 »
12345下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-4-20 23:32 , Processed in 0.095235 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表