MBR病毒V2

jdsh

小Q机器人 发表于 2019-4-25 20:12
我也用这个工具检测了，没任何异常，重启一切正常

不是所有的win10都没反应，另一个虚拟机win10 X64  1803专业版的挂了   杀软是ESET eav12.1.34

huang1111

jdsh 发表于 2019-4-25 20:26
不是所有的win10都没反应，另一个虚拟机win10 X64  1803专业版的挂了   杀软是ESET eav12.1.34

检查一下内核隔离是否开启

小Q机器人

jdsh 发表于 2019-4-25 20:26
不是所有的win10都没反应，另一个虚拟机win10 X64  1803专业版的挂了   杀软是ESET eav12.1.34

哈哈  eset都被过了？？？可惜过不了wd

jdsh

huang1111 发表于 2019-4-25 20:30
检查一下内核隔离是否开启

我记得应该都没有开启内核隔离

小Q机器人

huang1111 发表于 2019-4-25 20:30
检查一下内核隔离是否开启

vm虚拟机 15.0.4  系统win10 1809 LTSC 企业版  关闭全部杀软和wd  病毒打开后只有一个图标，没有任何破坏，也没用蓝屏。重启一切正常。、    没有开启内核隔离

YU2711

Trend Micro Run Kill

1. 名稱:        virus.exe
   
2. 來源:        未知
   
3. 版本:        
   
4. 版權所有:        
   
5. 偵測到的資源或程序 ID:        \Device\Harddisk0\DR0
   
6. 處理行動:        已清除

复制代码

1. 安全威脅:        HEU_AEGISCS901T
   
2. 來源類型:        安全威脅
   
3. 受影響的檔案:        C:\Users\TEST4\Downloads\virus (2)\virus.exe
   
4. 處理行動:        已移除
   
5. 偵測方式:        即時掃瞄

复制代码

温馨小屋

Norton
扫描：
文件名: virus.exe   威胁名称: Heur.AdvML.B

双击：
文件名: virus.exe   威胁名称: SONAR.SuspWrite!g1

kaba666

huang1111 发表于 2019-4-25 20:16
其实我没想到PDM对于改MBR这个动作的拦截点会这么快，程序其实还没有触发任何操作就被终止移除了， ...

机器学习

ATP_synthase

761773275 发表于 2019-4-25 20:19
什么软件？

应该是大蜘蛛

www-tekeze

楼上用智量的别嚷嚷，这个样本在bug10 1809或LTSC里跑不起来，既然没行为如何拦？？
楼主还写样本呢，连这个道理都不懂。。   乖乖呆在隔离区里呢！ 智量拦截点在火绒系统加固之前。