Trojan.Win32.ERROR

显示全部楼层 · 发表于 2019-2-7 14:29:16

测了norton，卡巴，bd，Gdata。。。。

norton和卡巴可以阻止写mbr动作，可是其他恶意操作无法阻止，磁盘被隐藏，文件夹劫持；bd直接 GG；Gdata居然可以完美拦截，完美!

显示全部楼层 · 发表于 2019-2-7 14:41:58

www-tekeze 发表于 2019-2-7 13:49
“只是磁盘不见了，文件夹无法打开”。。说得挺轻松，真中招还得重装吧？火绒拦截时全部放行， ...

这是国产病毒

显示全部楼层 · 发表于 2019-2-7 14:59:11

3245076553 发表于 2019-2-7 14:41
这是国产病毒

我知道是国产的啊，MEMZ的变种吧。

显示全部楼层 · 发表于 2019-2-7 15:03:49

www-tekeze 发表于 2019-2-7 14:59
我知道是国产的啊，MEMZ的变种吧。

MEMZ 风格的，你也许不是很了解

显示全部楼层 · 发表于 2019-2-7 15:07:08

3245076553 发表于 2019-2-7 15:03
MEMZ 风格的，你也许不是很了解

属于变种或同类家族，比如写MBR、映像劫持、屏蔽注册表编辑器等。

显示全部楼层 · 发表于 2019-2-7 18:59:12

病毒探索者发表于 2019-2-7 13:03
拦截
PS：因为是实体机，改MBR的动作被sonar拦截后病毒就开始发作了（各种错误的图标。。。参考8楼）， ...

表示SONAR可以Kill（我在沙盒测的）

<下图为"ERROR.bat"衍生物>

<下图为"ERROR.exe">

<此代码为衍生物>

[url=home.php?mod=space&uid=331734]@echo[/url] off
title error
color 04
mode con:cols=120 lines=35
echo WARNING!!!
echo Your computer is no longer working properly.
echo 1,Don't try to shutdown,restart the computer,or it will GG.
echo 2,Don't end the process in the way.It's futile.
echo 3,Don't use anti-virus software,which may affect the normal operation of the virus.
echo Please hold on till the end...
echo Enjoy it at last...
choice /t 5 /d y /n >nul
echo Thank you for testing this virus!!!
pause
exit

复制代码

显示全部楼层 · 发表于 2019-2-7 19:04:44

萧萧小发表于 2019-2-7 14:29
测了norton，卡巴，bd，Gdata。。。。

norton和卡巴可以阻止写mbr动作，可是其他恶意操作无法阻止，磁盘 ...

G Data主防这么厉害？

显示全部楼层 · 发表于 2019-2-7 19:08:57

BE_HC 发表于 2019-2-7 18:59
表示SONAR可以Kill（我在沙盒测的）

我开的是sonar主动，没有询问自己kill了，但是好像只拦住了改MBR，其他的就...

“桌面跳舞”，只好关机重启（完全影子模式）

显示全部楼层 · 发表于 2019-2-7 19:13:57

病毒探索者发表于 2019-2-7 19:08
我开的是sonar主动，没有询问自己kill了，但是好像只拦住了改MBR，其他的就...“桌面跳舞”，只好 ...

我开的也是主动,一般可疑操作SONAR都是阻止,不会交互的

显示全部楼层 · 发表于 2019-2-7 19:21:40

病毒探索者发表于 2019-2-7 19:04
G Data主防这么厉害？

感觉这货就拦截勒索不行、其他还是挺好的、

[病毒样本] Trojan.Win32.ERROR