Registry Ransom

显示全部楼层 · 发表于 2019-3-18 13:25:02

本帖最后由 hez2010 于 2019-3-18 14:05 编辑

# Virus written by myself
# Note that the executable file does not contain any malicious code.

Malicious code from https://bbs.kafan.cn/thread-2145151-1-1.html

pwd: infected

DO NOT RUN IT ON YOUR REAL SYSTEM ENVIRONMENT!

显示全部楼层 · 发表于 2019-3-18 13:29:47

本帖最后由 a233 于 2019-3-18 13:57 编辑

智量报exe，火绒Miss

显示全部楼层 · 发表于 2019-3-18 13:30:48

a233 发表于 2019-3-18 13:29
智量报exe，火绒Miss，不双击了

报exe是误报hhh
exe中不包含任何恶意代码

显示全部楼层 · 发表于 2019-3-18 13:38:27

hez2010 发表于 2019-3-18 13:30
报exe是误报hhh
exe中不包含任何恶意代码

那么这个病毒要怎样才能有勒索行为

显示全部楼层 · 发表于 2019-3-18 13:40:54

本帖最后由 hez2010 于 2019-3-18 13:42 编辑

a233 发表于 2019-3-18 13:38
那么这个病毒要怎样才能有勒索行为

勒索病毒主体exe以十六进制形式保存在 .reg 中
运行exe后，会自动将reg内容导入到注册表，然后从注册表读取payload到内存中直接在内存中加载exe并执行。

所以直接报exe的杀毒软件都是误报。
成功查杀/防御结果：
1. 要么你的杀毒软件可以直接杀掉 reg 文件
2. 要么你的杀毒软件在你运行 exe 后可以杀掉内存中的恶意代码

显示全部楼层 · 发表于 2019-3-18 13:45:36

hez2010 发表于 2019-3-18 13:40
勒索病毒主体exe以十六进制形式保存在 .reg 中
运行exe后，会自动将reg内容导入到注册表，然后从注册表 ...

这个勒索会反影子？打开了只是闪了一下cmd其它的都没有

显示全部楼层 · 发表于 2019-3-18 13:53:51

windows defender MISS

显示全部楼层 · 发表于 2019-3-18 13:56:37

a233 发表于 2019-3-18 13:45
这个勒索会反影子？打开了只是闪了一下cmd其它的都没有

emmmmm 是吗（那我可能代码写得有问题我检查检查哈哈哈哈哈

显示全部楼层 · 发表于 2019-3-18 14:06:42

a233 发表于 2019-3-18 13:45
这个勒索会反影子？打开了只是闪了一下cmd其它的都没有

检查了一下，部分系统的安全机制会导致运行不起来。比如Windows 10下可能无法运行。

显示全部楼层 · 发表于 2019-3-18 14:13:45

小红伞杀

[病毒样本] Registry Ransom

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源