极度危险的样本！秒杀系列！

显示全部楼层 · 发表于 2018-10-10 11:17:00

重要提示！重要提示！重要提示！样本是VMP壳，会反虚拟机，反调试！会反虚拟机，反调试！会反虚拟机，反调试！另外说一下这个是MBR锁病毒，跟以往的MBR病毒锁不一样，该病毒是直接将C盘变成扩展分区！如需在实体机运行做测试请做好相关的防护！

以下是可以防护的还原类软件。

冰点还原（8.30）可防护
冰冻精灵（3.0.1）可防护

影子系统及Shadow Defender（最新版）并没做测试，但是Shadow Defender应该是防护不了的。

另外调侃一下，金山毒霸，微点主动防御，火绒安全无法在运行之后进行拦截下来（秒杀）目前样本已经为报毒状态，但是如果执意运行（及运行之后你选择拦截或者阻止）也是拦不住的状态，在火绒测试情况开启了所有防护之后依然是拦截失败。

样本为报毒状态！样本为报毒状态！样本为报毒状态！有兴趣的可以用360试试看能不能拦截下来

权限不够无法上传附件，样本链接：https://dwz.cn/ILu5GmyZ

火绒相关提示：

显示全部楼层 · 发表于 2018-10-10 12:08:35

本帖最后由 lkjx21 于 2018-10-10 12:11 编辑

文件过 362清理工具箱.exe 火绒报勒索~ 剩余文件 cf逻辑方框透视.exe 火绒miss 智量miss
双击自动重启，一切正常~ 是我GPT分区的原因嘛~

显示全部楼层 · 发表于 2018-10-10 12:20:10

lkjx21 发表于 2018-10-10 12:08
文件过 362清理工具箱.exe 火绒报勒索~ 剩余文件 cf逻辑方框透视.exe 火绒miss 智量miss ...

有可能是这个原因

显示全部楼层 · 发表于 2018-10-10 12:46:56

本帖最后由捏鲍鱼于 2018-10-10 12:55 编辑

我就不信邪实机双击特地重启一次来回复屁事没有！反毛线

显示全部楼层 · 发表于 2018-10-10 13:04:23

avira扫描miss

显示全部楼层 · 发表于 2018-10-10 14:19:20

捏鲍鱼发表于 2018-10-10 12:46
我就不信邪实机双击特地重启一次来回复屁事没有！反毛线

是分区问题么，我这的锁了- -

显示全部楼层 · 发表于 2018-10-10 14:50:41

显示全部楼层 · 发表于 2018-10-10 15:06:14

本帖最后由 www-tekeze 于 2018-10-10 15:07 编辑

据我所知，只有机器狗、磁碟机、鬼影这三种曾弄穿过SD影子 (当然SD很快就修复了)，楼主这个易程序有这么牛逼么。。

本人表示严重不相信。。。

显示全部楼层 · 发表于 2018-10-10 15:16:18

www-tekeze 发表于 2018-10-10 15:06
据我所知，只有机器狗、磁碟机、鬼影这三种曾弄穿过SD影子 (当然SD很快就修复了)，楼主这个易程序有这么牛 ...

也是实机双击没事吗？

显示全部楼层 · 发表于 2018-10-10 15:30:54

传奇传奇发表于 2018-10-10 15:16
也是实机双击没事吗？

刚实机影子里双击，啥事也没有，装得有影子就放心玩吧。。

显示全部楼层 · 发表于 2018-10-10 15:34:32

本帖最后由 www-tekeze 于 2018-10-10 15:38 编辑

火绒、智量都只报那个清理工具箱，但方框透视也会在MBR动手脚。。

补充：因为想看看后续还有什么动作，就点了“允许”，瞬间关机自动重启，但啥事也没有，后来又试了选“阻止”，仍然会自动关机重启，只能选“结束进程”。

显示全部楼层 · 发表于 2018-10-10 15:41:43

本帖最后由 www-tekeze 于 2018-10-10 21:43 编辑

www-tekeze 发表于 2018-10-10 15:34
火绒、智量都只报那个清理工具箱，但方框透视也会在MBR动手脚。。

补充：因为想看看后续还有什么 ...

换虚拟机测试，因仍然装得有影子，那就先退出影子吧，双击方框透视并且选允许，重启后成这样了。。

补个运行清理工具箱重启后的屏幕，阿三哥家的佛像？？

显示全部楼层 · 发表于 2018-10-10 15:46:27

WD 扫描 miss

显示全部楼层 · 发表于 2018-10-10 16:18:13

www-tekeze 发表于 2018-10-10 15:06
据我所知，只有机器狗、磁碟机、鬼影这三种曾弄穿过SD影子 (当然SD很快就修复了)，楼主这个易程序有这么牛 ...

MEMZ我当时不知道为什么穿了SD。。。。

显示全部楼层 · 发表于 2018-10-10 16:19:29

www-tekeze 发表于 2018-10-10 15:41
换虚拟机测试，因仍然装得有影子，那就先退出影子吧，双击方框透视并且选允许，重启后成这样了。。 ...

所以到底能不能穿。。。

显示全部楼层 · 发表于 2018-10-10 16:36:47

晚风ono 发表于 2018-10-10 16:18
MEMZ我当时不知道为什么穿了SD。。。。

不可能吧，那个我早就试过，穿不了的。据说2012年后的SD加入了“out令牌”，强行穿的结果就是蓝屏，同归于尽。

显示全部楼层 · 发表于 2018-10-10 16:38:18

晚风ono 发表于 2018-10-10 16:19
所以到底能不能穿。。。

？？？没仔细看吧，我说的是退出影子，并且允许写MBR，那结果就是被锁机，影子模式里没事，看11楼。。

显示全部楼层 · 发表于 2018-10-10 16:47:10

www-tekeze 发表于 2018-10-10 16:38
？？？没仔细看吧，我说的是退出影子，并且允许写MBR，那结果就是被锁机，影子模式里没事，看11楼。。[:2 ...

写 mbr 可以用我的工具 fixransommbr修复，不过他还会利用syskey来设置一个密码，这个比较麻烦，貌似没好的解决方法

显示全部楼层 · 发表于 2018-10-10 17:02:28

wowocock 2018-10-10 16:47
д mbr fixransommbrsyskey鷳ò ...

你那个工具我肯定收藏了，如果有MBR/分区表的备份，再配合DG在PE下还搞不定么？

syskey似乎只能用备份的注册表来还原，syskey也就失效了吧？

显示全部楼层 · 发表于 2018-10-10 17:07:17

wowocock 发表于 2018-10-10 16:47
写 mbr 可以用我的工具 fixransommbr修复，不过他还会利用syskey来设置一个密码，这个比较麻烦，貌似没 ...

大佬给解释下那个SD的“out令牌”是咋回事？我一直似懂非懂的，百度里也没这个out令牌。。

[病毒样本] 极度危险的样本！秒杀系列！

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源