搜索
楼主: xingyux1
收起左侧

[病毒样本] 只有eset才能脱的壳? 2白样本+2黑样本

[复制链接]
zdlzp
发表于 2019-6-21 18:55:40 | 显示全部楼层
本帖最后由 zdlzp 于 2019-6-21 19:01 编辑

在火绒保护下运行,按照火绒推荐操作。
删除了桌面的部分快捷方式,修改桌面背景为那个图,扫描无毒,系统正常。

操作进程:C:\WINDOWS\system32\reg.exe
命令行:"C:\WINDOWS\system32\reg.exe"  add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v DisableTaskMgr /t REG_DWORD /d 00000001 /f
父进程:C:\Documents and Settings\Administrator\Local Settings\Temp\360zip$Temp\360$0\JJY.exe
防护项目:任务管理器屏蔽配置项
目标注册表:HKEY_USERS\S-1-5-21-527237240-2111687655-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableTaskMgr
操作类型:【写入】
数据内容:0x00000001 (1)
操作结果:已阻止
操作进程:C:\WINDOWS\system32\reg.exe
命令行:"C:\WINDOWS\system32\reg.exe"  add HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System\ /v DisableRegistryTools /t REG_DWORD /d 00000001 /f
父进程:C:\Documents and Settings\Administrator\Local Settings\Temp\360zip$Temp\360$0\JJY.exe
防护项目:注册表编辑器屏蔽配置项
目标注册表:HKEY_USERS\S-1-5-21-527237240-2111687655-1801674531-500\Software\Microsoft\Windows\CurrentVersion\Policies\System\DisableRegistryTools
操作类型:【写入】
数据内容:0x00000001 (1)
操作结果:已阻止
操作进程:C:\WINDOWS\system32\reg.exe
命令行:"C:\WINDOWS\system32\reg.exe"  add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ /v 360SafeExt /t REG_SZ /d C:\Windows\system32\360SafeExt.exe /f
防护项目:[结束]疑似利用系统进程进行恶意操作
操作目标:【创建】 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\
操作结果:已阻止
操作进程:C:\WINDOWS\system32\cmd.exe
命令行:"C:\WINDOWS\system32\cmd.exe"  /c wmic useraccount where name='%USERNAME%' call rename '叽叽歪' & pause
防护项目:[结束]CMD恶意操作
操作目标:【执行】 C:\WINDOWS\System32\Wbem\wmic.exe
操作结果:已阻止
操作进程:C:\WINDOWS\system32\cmd.exe
命令行:"C:\WINDOWS\system32\cmd.exe"  /c copy "C:\Documents and Settings\Administrator\Local Settings\Temp\360zip$Temp\360$0\JJY.exe" "C:\Windows\system32\360SafeExt.exe"
防护项目:[阻止]篡改系统关键项
操作目标:【创建】 C:\Windows\system32\360SafeExt.exe
操作结果:已阻止
操作进程:C:\WINDOWS\system32\reg.exe
命令行:"C:\WINDOWS\system32\reg.exe"  add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ /v 360SafeExt /t REG_SZ /d C:\Windows\system32\360SafeExt.exe /f
防护项目:[结束]疑似利用系统进程进行恶意操作
操作目标:【创建】 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
操作结果:已阻止
操作进程:C:\WINDOWS\system32\cmd.exe
命令行:"C:\WINDOWS\system32\cmd.exe"  /c copy "C:\Documents and Settings\Administrator\Local Settings\Temp\360zip$Temp\360$0\JJY.exe" "C:\Windows\system32\360SafeExt.exe"
防护项目:[阻止]篡改系统关键项
操作目标:【创建】 C:\Windows\system32\360SafeExt.exe
操作结果:已阻止
操作进程:C:\WINDOWS\system32\cmd.exe
命令行:"C:\WINDOWS\system32\cmd.exe"  /c copy "C:\Documents and Settings\Administrator\Local Settings\Temp\360zip$Temp\360$0\JJY.exe" "C:\Windows\system32\360SafeExt.exe"
防护项目:[阻止]篡改系统关键项
操作目标:【创建】 C:\Windows\system32\360SafeExt.exe
操作结果:已阻止

评分

参与人数 1人气 +1 收起 理由
天耀群星 + 1 版区有你更精彩: )

查看全部评分

xingyux1
 楼主| 发表于 2019-6-21 19:04:58 | 显示全部楼层
本帖最后由 xingyux1 于 2019-6-21 19:26 编辑
zdlzp 发表于 2019-6-21 18:55
在火绒保护下运行,按照火绒推荐操作。
删除了桌面的部分快捷方式,修改桌面背景为那个图,扫描无毒,系 ...

我在win10沙盘里试鼠标动不了的 可能是沙盘的问题 没有到自动阻止的时间就会黑屏

zdlzp
发表于 2019-6-21 19:15:46 | 显示全部楼层
xingyux1 发表于 2019-6-21 19:04
我在win10沙盘里试鼠标动不了的 可能是沙盘的问题

XP系统里影子模式下的结果
www-tekeze
发表于 2019-6-21 19:45:28 | 显示全部楼层

5个文件,智量Heur杀一个黑样本。
官人来看下,MEMZ扫描和主防都不报,相信又撞白特征了。。   @智量官方

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
BE_HC
发表于 2019-6-21 19:47:33 | 显示全部楼层
本帖最后由 BE_HC 于 2019-6-21 19:51 编辑

Norton Scan Result:
白样本不报



扫描杀1x



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
xingyux1
 楼主| 发表于 2019-6-21 19:51:39 | 显示全部楼层
www-tekeze 发表于 2019-6-21 19:45
5个文件,智量Heur杀一个黑样本。
官人来看下,MEMZ扫描和主防都不报,相信又撞白特征了。。   @ ...

不是的 一开始智量直接5kill 然后被上传误报了…… 你可以试试看用加壳工具再加一边白文件的壳智量报不报

现在已经入库了
www-tekeze
发表于 2019-6-21 20:05:05 | 显示全部楼层
本帖最后由 www-tekeze 于 2019-6-21 20:33 编辑
xingyux1 发表于 2019-6-21 19:51
不是的 一开始智量直接5kill 然后被上传误报了…… 你可以试试看用加壳工具再加一边白文件的壳智量报不报 ...

一开始全杀? 那说明你这个壳很不常见(9楼GD全报壳!),我用UPX、ASPack、ZProtect、Themida、se、VMP都试过,智量可没这么脑残!黑样本脱壳成功率在百分之80~90,白文件的话,UPX/ASPack/ZProtect基本没误报,另外三种误报率也就20%左右。

www-tekeze
发表于 2019-6-21 20:10:50 | 显示全部楼层
双击MEMZ,怎么只看到个写MBR的动作?允许就欣赏彩虹猫吧。。   阻止的话会自动重启,但啥事没有!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
xingyux1
 楼主| 发表于 2019-6-21 20:11:59 | 显示全部楼层
本帖最后由 xingyux1 于 2019-6-21 20:32 编辑
www-tekeze 发表于 2019-6-21 20:05
一开始全杀? 那说明你这个壳很不常见(9楼GD全报壳!),我用UPX、ASPack、ZProtect、Themida、se、VMP ...

就是全杀啊…… 不过我不知道MEMZ是不是有人点错信任上传了 MEMZ成白名单里的了

是4个 我记错了……
www-tekeze
发表于 2019-6-21 20:27:17 | 显示全部楼层
xingyux1 发表于 2019-6-21 20:11
就是全杀啊…… 不过我不知道MEMZ是不是有人点错信任上传了 MEMZ成白名单里的了

真是病毒进白名单 那 ...

恢复虚拟机快照到昨天,断网测试,Heur报了4X,看来有3个做了误报排除,但MEMZ仍不报,说明撞白特征是以前就有了!

用户选信任当误报上传,智量就无脑加白??哪有这种事,我当误报上传过N多,要杀的一样杀,你传多少遍也没用!这个撞白特征是厂商的失误,跟用户上传没关系。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-10-21 14:01 , Processed in 0.061550 second(s), 16 queries .

快速回复 返回顶部 返回列表