搜索
查看: 1439|回复: 19
收起左侧

[病毒样本] 锁机样本

[复制链接]
记录微笑
发表于 2019-7-26 19:36:23 | 显示全部楼层 |阅读模式
RT,MES扫描MISS。
在沙盒运行竟然改我的登录密码成功了。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
BE_HC
发表于 2019-7-26 19:44:52 | 显示全部楼层
本帖最后由 BE_HC 于 2019-7-26 20:04 编辑

Norton Scan MISS


仅64位程序



  1. #        当天时间        线程        Module        API        返回值        错误        持续时间
  2. 5330        7:57:58.790 PM        1        sample.exe        strcat ( "", "net " )        0x0000000000411fc0                0.0000001
  3. 5331        7:57:58.790 PM        1        sample.exe        strcat ( "net ", "user " )        0x0000000000411fc0                0.0000002
  4. 5332        7:57:58.790 PM        1        sample.exe        strcat ( "net user ", "1áO" )        0x0000000000411fc0                0.0000001
  5. 5333        7:57:58.790 PM        1        sample.exe        strcat ( "", "net user 1áO" )        0x0000000000412000                0.0000001
  6. 5334        7:57:58.790 PM        1        sample.exe        strcat ( "", "@1M(}*(}*" )        0x0000000000412080                0.0000001
  7. 5335        7:57:58.790 PM        1        sample.exe        strcat ( "net user 1áO "", "@1M(}*(}*" )        0x0000000000411fc0                0.0000001
  8. 5336        7:57:58.790 PM        1        sample.exe        _itoa ( 882, 0x000000000022fde0, 10 )        0x000000000022fde0                0.0000002
  9. 5337        7:57:58.790 PM        1        sample.exe        strcpy ( 0x00000000004120a0, "882" )        0x00000000004120a0                0.0000001
  10. 5338        7:57:58.790 PM        1        sample.exe        strcat ( "net user 1áO /fullname:DòoÅ:", "882" )        0x0000000000412000                0.0000001
  11. 5339        7:57:58.790 PM        1        sample.exe        strcat ( "net user 1áO /fullname:DòoÅ:882;ÏëÖaμàÃüÂëÇë¼ÇסDòoÅáaÏμ2aêÔÔ±QQ:", "437828228" )        0x0000000000412000                0.0000001
  12. 5340        7:57:58.790 PM        1        sample.exe        system ( "net user 1áO "@1M(}*(}*"" )        1                29.6362195
复制代码
  1. #        当天时间        线程        Module        API        返回值        错误        持续时间
  2. 3116        7:58:33.282 PM        1        cmd.exe        wcschr ( "C:\Windows\system32\cmd.exe /c net user 1酧 /fullname:序号:882;想知道密码请记住序号联系测试员QQ:437828228", '/' )        0x000000004abd7b98                0.0000002
复制代码


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
约会大作战
发表于 2019-7-26 19:57:04 | 显示全部楼层
数字安全


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
温馨小屋
发表于 2019-7-26 20:05:14 | 显示全部楼层
卡巴斯基,密码被改
BE_HC
发表于 2019-7-26 20:11:33 | 显示全部楼层
伪随机码,密码已全部提取,但具体算法还不明
第一次
  1. 5335        7:57:58.790 PM        1        sample.exe        strcat ( "net user 1áO "", "@1M(}*(}*" )        0x0000000000411fc0                0.0000001
复制代码


第二次
  1. cmdline:'net  user 1酖 "(}*low~-+"'
复制代码




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2019-7-26 20:20:16 | 显示全部楼层
智量Heur杀,火绒miss,有空双击。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
llcy
发表于 2019-7-26 20:38:53 | 显示全部楼层
miss

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
温馨小屋
发表于 2019-7-26 20:39:32 | 显示全部楼层
BD 双击miss
www-tekeze
发表于 2019-7-26 21:43:42 | 显示全部楼层
本帖最后由 www-tekeze 于 2019-7-26 21:47 编辑
www-tekeze 发表于 2019-7-26 20:20
智量Heur杀,火绒miss,有空双击。。

双击,首先被智量主防杀!
退出智量双击,这些命令行动作不是往火绒的枪口上撞么。。   全部放行中招。图片顺序乱了。。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-9-17 11:08 , Processed in 0.045764 second(s), 4 queries , MemCache On.

快速回复 返回顶部 返回列表