搜索
楼主: jqj0901
收起左侧

[病毒样本] 新型锁机一只,能日UEFI

  [复制链接]
huang1111
发表于 2019-1-23 13:44:58 | 显示全部楼层
www-tekeze 发表于 2019-1-23 10:27
加了VMP,ESET报壳。。

感觉eset一直都在杀壳
静影沉璧
发表于 2019-1-23 13:45:34 | 显示全部楼层
双击过ATD

评分

参与人数 1人气 +1 收起 理由
霄栋 + 1 版区有你更精彩: )

查看全部评分

www-tekeze
发表于 2019-1-23 13:46:05 | 显示全部楼层
本帖最后由 www-tekeze 于 2019-1-23 15:09 编辑

这个火绒已做通杀,智量Heur就能杀。。   补充:对两个锁机TX的管家都是MISS。

给楼主提个建议,写完样本试试能不能过智量,如果能过放出来就厉害了!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2019-1-23 13:49:01 | 显示全部楼层
huang1111 发表于 2019-1-23 13:44
感觉eset一直都在杀壳

杀壳还杀易语言,除非关了潜在不安全、潜在不受欢迎,但那样防护能力又要下降。。
www-tekeze
发表于 2019-1-23 13:51:04 | 显示全部楼层

这个样本够厉害,写磁盘底层的动作火绒也拦截不了,但卡巴的PDM拦下了。
海颜贝儿
发表于 2019-1-23 16:07:32 | 显示全部楼层
本帖最后由 海颜贝儿 于 2019-1-23 16:08 编辑
www-tekeze 发表于 2019-1-23 13:51
这个样本够厉害,写磁盘底层的动作火绒也拦截不了,但卡巴的PDM拦下了。

卡巴斯基16号的病毒库和主防,成功防御,我可能要从eset换卡巴斯基了,那个dll也被干掉了.
  1. 23.01.2019 16.02.19        应用程序已添加至组受信任        COM Surrogate        应用程序: COM Surrogate        原因: KSN 信息        应用程序路径: C:\Windows\SysWOW64\dllhost.exe        时间: 2019/1/23 16:02
  2. 23.01.2019 15.59.10        任务启动        网页反病毒        时间: 2019/1/23 15:59
  3. 23.01.2019 15.59.10        任务启动        即时通讯反病毒        时间: 2019/1/23 15:59
  4. 23.01.2019 15.59.10        任务启动        系统监控        时间: 2019/1/23 15:59
  5. 23.01.2019 15.59.10        任务启动        邮件反病毒        时间: 2019/1/23 15:59
  6. 23.01.2019 15.59.10        任务启动        反网络攻击        时间: 2019/1/23 15:59
  7. 23.01.2019 15.58.25        应用程序已添加至组受信任        Microsoft® Volume Shadow Copy Service        应用程序: Microsoft® Volume Shadow Copy Service        原因: KSN 信息        应用程序路径: C:\Windows\System32\VSSVC.exe        时间: 2019/1/23 15:58
  8. 23.01.2019 15.58.25        应用程序已添加至组受信任        Userinit Logon Application        应用程序: Userinit Logon Application        原因: KSN 信息        应用程序路径: C:\Windows\System32\userinit.exe        时间: 2019/1/23 15:58
  9. 23.01.2019 15.58.22        任务启动        应用程序控制        时间: 2019/1/23 15:58
  10. 23.01.2019 15.58.22        任务启动        文件反病毒        时间: 2019/1/23 15:58
  11. 23.01.2019 15.58.22        任务启动        防火墙        时间: 2019/1/23 15:58
  12. 23.01.2019 15.57.49        任务停止        系统监控        时间: 2019/1/23 15:57
  13. 23.01.2019 15.57.45        应用程序已添加至组受信任        Windows Logon User Interface Host        应用程序: Windows Logon User Interface Host        原因: KSN 信息        应用程序路径: C:\Windows\System32\LogonUI.exe        时间: 2019/1/23 15:57
  14. 23.01.2019 15.56.48        数据库和应用程序模块更新        已完成。        平均下载速度: : 70.64 KB/s        状态: : 已完成。        已下载并更新: : 2.89 MB        总时长: 4 分钟 38 秒        时间: 2019/1/23 15:56
  15. 23.01.2019 15.56.43        高级清除        未检测到威胁        检测到: 0        已删除: 0        未清除: 0        扫描时的数据库发布日期: 2019/1/23 13:42        总时长: 1 分钟 2 秒        完成时间: 2019/1/23 15:57
  16. 23.01.2019 15.56.43        已忽略活动 可被入侵者利用以破坏您的计算机或个人数据的合法软件        not-a-virus:PDM:RiskTool.Win32.BootChanger.a.9        应用程序名称: C:\Users\gaoju\Downloads\test.vmp.exe        应用程序路径: c:\users\gaoju\downloads\test.vmp.exe        时间: 2019/1/23 15:56
  17. 23.01.2019 15.56.42        检测到 可被入侵者利用以破坏您的计算机或个人数据的合法软件        not-a-virus:PDM:RiskTool.Win32.BootChanger.a.9        应用程序名称: C:\Users\gaoju\Downloads\test.vmp.exe        应用程序路径: c:\users\gaoju\downloads\test.vmp.exe        时间: 2019/1/23 15:56
  18. 23.01.2019 15.56.42        已回滚 恶意软件 的操作        PDM:Trojan.Win32.Generic        应用程序名称: C:\Users\gaoju\Downloads\test.vmp.exe        应用程序路径: c:\users\gaoju\downloads\test.vmp.exe        时间: 2019/1/23 15:56
  19. 23.01.2019 15.56.42        回滚 恶意软件 的操作时文件被删除        c:\users\gaoju\downloads\extradll.dll        应用程序名称: C:\Users\gaoju\Downloads\test.vmp.exe        应用程序路径: c:\users\gaoju\downloads\test.vmp.exe        时间: 2019/1/23 15:56
  20. 23.01.2019 15.56.14        已移除 恶意软件        PDM:Trojan.Win32.Generic        应用程序名称: C:\Users\gaoju\Downloads\test.vmp.exe        应用程序路径: c:\users\gaoju\downloads\test.vmp.exe        时间: 2019/1/23 15:56
  21. 23.01.2019 15.56.14        已移除 恶意软件        PDM:Trojan.Win32.Generic        应用程序名称: 易语言程序        应用程序路径: C:\Users\gaoju\Downloads\test.vmp.exe:Zone.Identifier        时间: 2019/1/23 15:56
  22. 23.01.2019 15.56.08        已忽略的可以被犯罪分子利用以破坏您的计算机或个人数据的合法软件        C:\Users\gaoju\Downloads\test.vmp.exe        对象: C:\Users\gaoju\Downloads\test.vmp.exe        对象名称: not-a-virus:VHO:RiskTool.Win32.Gamehack.gen        应用程序: 易语言程序        应用程序路径: C:\Users\gaoju\Downloads\test.vmp.exe
  23. 23.01.2019 15.56.08        已终止 恶意软件        PDM:Trojan.Win32.Generic        应用程序名称: 易语言程序        应用程序路径: C:\Users\gaoju\Downloads\test.vmp.exe        时间: 2019/1/23 15:56
  24. 23.01.2019 15.56.08        检测到 恶意软件        PDM:Trojan.Win32.Generic        应用程序名称: 易语言程序        应用程序路径: c:\users\gaoju\downloads\test.vmp.exe        时间: 2019/1/23 15:56
  25. 23.01.2019 15.56.06        检测到可以被犯罪分子利用以破坏您的计算机或个人数据的合法软件        C:\Users\gaoju\Downloads\test.vmp.exe        对象: C:\Users\gaoju\Downloads\test.vmp.exe        对象名称: not-a-virus:VHO:RiskTool.Win32.Gamehack.gen        应用程序: 易语言程序        应用程序路径: C:\Users\gaoju\Downloads\test.vmp.exe
  26. 23.01.2019 15.56.06        应用程序已添加至组低限制        易语言程序        应用程序: 易语言程序        原因: 扫描结果        应用程序路径: C:\Users\gaoju\Downloads\test.vmp.exe        时间: 2019/1/23 15:56
  27. 23.01.2019 15.54.24        对象( 文件 )未被处理        C:\Users\gaoju\Downloads\test.vmp.exe        应用程序: TheWorld        文件: C:\Users\gaoju\Downloads\test.vmp.exe        时间: 2019/1/23 15:54        对象名称: not-a-virus:VHO:RiskTool.Win32.Gamehack.gen        原因: 由用户允许
  28. 23.01.2019 15.54.22        对象( 文件 )未被处理        C:\Users\gaoju\Downloads\test.vmp.exe        应用程序: TheWorld        文件: C:\Users\gaoju\Downloads\test.vmp.exe        时间: 2019/1/23 15:54        对象名称: not-a-virus:VHO:RiskTool.Win32.Gamehack.gen        原因: 由用户允许
  29. 23.01.2019 15.54.22        检测到的对象( 文件 )        C:\Users\gaoju\Downloads\test.vmp.exe        应用程序: TheWorld        文件: C:\Users\gaoju\Downloads\test.vmp.exe        时间: 2019/1/23 15:54        对象名称: not-a-virus:VHO:RiskTool.Win32.Gamehack.gen
  30. 23.01.2019 15.54.13        对象( 文件 )未被处理        C:\Users\gaoju\Downloads\未确认 39833.crdownload        应用程序: Microsoft Windows Search Protocol Host        文件: C:\Users\gaoju\Downloads\未确认 39833.crdownload        时间: 2019/1/23 15:54        对象名称: not-a-virus:VHO:RiskTool.Win32.Gamehack.gen        原因: 由用户允许
  31. 23.01.2019 15.54.10        检测到的对象( 文件 )        C:\Users\gaoju\Downloads\未确认 39833.crdownload        应用程序: Microsoft Windows Search Protocol Host        文件: C:\Users\gaoju\Downloads\未确认 39833.crdownload        时间: 2019/1/23 15:54        对象名称: not-a-virus:VHO:RiskTool.Win32.Gamehack.gen
  32. 23.01.2019 15.53.52        应用程序已添加至组受信任        TheWorld        应用程序: TheWorld        原因: KSN 信息        应用程序路径: C:\Users\gaoju\AppData\Local\TheWorld6\Application\TheWorld.exe        时间: 2019/1/23 15:53
  33. 23.01.2019 15.53.33        应用程序已添加至组受信任        360压缩升级模块        应用程序: 360压缩升级模块        原因: 数字签名分析        应用程序路径: C:\Program Files (x86)\360\360zip\360zipUpdate.exe        时间: 2019/1/23 15:53
  34. 23.01.2019 15.53.33        应用程序已添加至组受信任        Task Scheduler Engine        应用程序: Task Scheduler Engine        原因: KSN 信息        应用程序路径: C:\Windows\System32\taskeng.exe        时间: 2019/1/23 15:53
  35. 23.01.2019 15.53.27        应用程序已添加至组受信任        Windows host process (Rundll32)        应用程序: Windows host process (Rundll32)        原因: KSN 信息        应用程序路径: C:\Windows\System32\rundll32.exe        时间: 2019/1/23 15:53
  36. 23.01.2019 15.53.27        应用程序已添加至组受信任        General Telemetry        应用程序: General Telemetry        原因: 数字签名分析        应用程序路径: C:\Windows\System32\generaltel.dll        时间: 2019/1/23 15:53
  37. 23.01.2019 15.53.02        应用程序已添加至组受信任        Dism Host Servicing Process        应用程序: Dism Host Servicing Process        原因: KSN 信息        应用程序路径: C:\Windows\Temp\2EB6A15C-F395-427A-AE26-CC23571F4416\DismHost.exe        时间: 2019/1/23 15:53
  38. 23.01.2019 15.52.27        应用程序已添加至组受信任        Device Display Object Function Discovery Provider        应用程序: Device Display Object Function Discovery Provider        原因: 数字签名分析        应用程序路径: C:\Windows\System32\DeviceDisplayObjectProvider.exe        时间: 2019/1/23 15:52
  39. 23.01.2019 15.52.18        应用程序已添加至组受信任        Microsoft Sync Center        应用程序: Microsoft Sync Center        原因: 数字签名分析        应用程序路径: C:\Windows\System32\mobsync.exe        时间: 2019/1/23 15:52
  40. 23.01.2019 15.52.09        应用程序已添加至组受信任        Manages scheduled tasks        应用程序: Manages scheduled tasks        原因: KSN 信息        应用程序路径: C:\Windows\System32\schtasks.exe        时间: 2019/1/23 15:52
  41. 23.01.2019 15.52.07        应用程序已添加至组受信任        IP Configuration Utility        应用程序: IP Configuration Utility        原因: KSN 信息        应用程序路径: C:\Windows\System32\ipconfig.exe        时间: 2019/1/23 15:52
  42. 23.01.2019 15.52.05        应用程序已添加至组受信任        Windows Command Processor        应用程序: Windows Command Processor        原因: KSN 信息        应用程序路径: C:\Windows\System32\cmd.exe        时间: 2019/1/23 15:52
  43. 23.01.2019 15.52.05        应用程序已添加至组受信任        C:\Program Files\VMware\VMware Tools\resume-vm-default.bat        应用程序: C:\Program Files\VMware\VMware Tools\resume-vm-default.bat        原因: KSN 信息        应用程序路径: C:\Program Files\VMware\VMware Tools\resume-vm-default.bat        时间: 2019/1/23 15:52
  44. 23.01.2019 15.52.04        应用程序已添加至组受信任        Windows SQM Consolidator        应用程序: Windows SQM Consolidator        原因: 数字签名分析        应用程序路径: C:\Windows\System32\wsqmcons.exe        时间: 2019/1/23 15:52
  45. 23.01.2019 15.52.04        应用程序已添加至组受信任        Microsoft® Windows Backup        应用程序: Microsoft® Windows Backup        原因: 数字签名分析        应用程序路径: C:\Windows\System32\sdclt.exe        时间: 2019/1/23 15:52
  46. 23.01.2019 15.52.04        应用程序已添加至组受信任        A tool to aid in developing services for WindowsNT        应用程序: A tool to aid in developing services for WindowsNT        原因: KSN 信息        应用程序路径: C:\Windows\System32\sc.exe        时间: 2019/1/23 15:52
  47. 23.01.2019 15.52.04        应用程序已添加至组受信任        Microsoft Windows Diagnostics Tracking Runner        应用程序: Microsoft Windows Diagnostics Tracking Runner        原因: 数字签名分析        应用程序路径: C:\Windows\System32\CompatTel\diagtrackrunner.exe        时间: 2019/1/23 15:52
复制代码
具具
发表于 2019-1-23 16:46:47 | 显示全部楼层
瑞星免费版免杀
www-tekeze
发表于 2019-1-23 16:50:50 | 显示全部楼层
海颜贝儿 发表于 2019-1-23 16:07
卡巴斯基16号的病毒库和主防,成功防御,我可能要从eset换卡巴斯基了,那个dll也被干掉了.

即使是Free版KFA2019也不错啊,欢迎弃坑。。
jqj0901
 楼主| 发表于 2019-1-23 17:57:43 | 显示全部楼层
www-tekeze 发表于 2019-1-23 13:46
这个火绒已做通杀,智量Heur就能杀。。   补充:对两个锁机TX的管家都是MISS。

给楼主提个建议 ...

内存加载extradll.dll已经实现了,免杀的话正在尝试魔改UPX
风之咩~
发表于 2019-1-23 18:12:27 | 显示全部楼层
本帖最后由 风之咩~ 于 2019-1-23 18:24 编辑

实测DG和分区助手都是找回分区无压力啊
然后修复一下启动就完事了

和别的比起来感觉也就写入方式上比较隐蔽  对分区的操作都是删了分区表加个mbr锁
修复后正常进系统  发现dll都没来得及删




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
dreams521 + 1 版区有你更精彩: )

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|优惠券| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-4-20 17:11 , Processed in 0.037137 second(s), 4 queries , MemCache On.

快速回复 返回顶部 返回列表