查看: 2573|回复: 29
收起左侧

[病毒样本] Registry Ransom

[复制链接]
hez2010
发表于 2019-3-18 13:25:02 | 显示全部楼层 |阅读模式
本帖最后由 hez2010 于 2019-3-18 14:05 编辑

# Virus written by myself
# Note that the executable file does not contain any malicious code.

Malicious code from https://bbs.kafan.cn/thread-2145151-1-1.html


pwd: infected




DO NOT RUN IT ON YOUR REAL SYSTEM ENVIRONMENT!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
a233
发表于 2019-3-18 13:29:47 | 显示全部楼层
本帖最后由 a233 于 2019-3-18 13:57 编辑

智量报exe,火绒Miss

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
hez2010
 楼主| 发表于 2019-3-18 13:30:48 | 显示全部楼层
a233 发表于 2019-3-18 13:29
智量报exe,火绒Miss,不双击了

报exe是误报hhh
exe中不包含任何恶意代码
a233
发表于 2019-3-18 13:38:27 | 显示全部楼层
hez2010 发表于 2019-3-18 13:30
报exe是误报hhh
exe中不包含任何恶意代码

那么这个病毒要怎样才能有勒索行为
hez2010
 楼主| 发表于 2019-3-18 13:40:54 | 显示全部楼层
本帖最后由 hez2010 于 2019-3-18 13:42 编辑
a233 发表于 2019-3-18 13:38
那么这个病毒要怎样才能有勒索行为

勒索病毒主体exe以十六进制形式保存在 .reg 中
运行exe后,会自动将reg内容导入到注册表,然后从注册表读取payload到内存中直接在内存中加载exe并执行。

所以直接报exe的杀毒软件都是误报。
成功查杀/防御结果:
1. 要么你的杀毒软件可以直接杀掉 reg 文件
2. 要么你的杀毒软件在你运行 exe 后可以杀掉内存中的恶意代码
a233
发表于 2019-3-18 13:45:36 | 显示全部楼层
hez2010 发表于 2019-3-18 13:40
勒索病毒主体exe以十六进制形式保存在 .reg 中
运行exe后,会自动将reg内容导入到注册表,然后从注册表 ...

这个勒索会反影子?打开了只是闪了一下cmd其它的都没有
1446547521
发表于 2019-3-18 13:53:51 | 显示全部楼层
windows defender MISS

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
hez2010
 楼主| 发表于 2019-3-18 13:56:37 来自手机 | 显示全部楼层
a233 发表于 2019-3-18 13:45
这个勒索会反影子?打开了只是闪了一下cmd其它的都没有

emmmmm 是吗(那我可能代码写得有问题我检查检查哈哈哈哈哈
hez2010
 楼主| 发表于 2019-3-18 14:06:42 | 显示全部楼层
a233 发表于 2019-3-18 13:45
这个勒索会反影子?打开了只是闪了一下cmd其它的都没有

检查了一下,部分系统的安全机制会导致运行不起来。比如Windows 10下可能无法运行。
具具
发表于 2019-3-18 14:13:45 | 显示全部楼层
小红伞杀
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 22:05 , Processed in 0.137031 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表