三层锁的样本

kdXiaoyi

样本网址	https://ws28.cn/f/5b498so8qoc	密码:834209
备用样本网址	https://share.weiyun.com/02Khz3hm	密码 kdxy67

压缩包密码 infected


上次不是发了个mbr锁吗(见https://bbs.kafan.cn/thread-2207530-1-1.html)
这次把他改进改进……
于是就诞生了这个……
(不发源码是因为他1.5MB，论坛不让发)

另附：==================
微步（压缩包） | 0/25 检出 | 恶意。
https://s.threatbook.cn/report/f ... p1_enx64_office2013
还有就是他检测出我写了注册表，可是主程序没有写啊……

微步（程序本身） | 7/25 检出 | 恶意。
https://s.threatbook.cn/report/f ... p1_enx64_office2013
与压缩包基本一致……

Virustotal（程序本身） | 30/70检出(三位数杀毒产品没有检出？)。
传送门

腾讯哈勃（程序本身） | 无风险
传送门
就离谱~

360ATA (程序本身) | 恶意
https://ata.360.cn/taskstatus?tasklist=11005045325824
注册表我这看到的数字是1517？

wwwab

火绒爃 发表于 2021-5-1 13:11
用滑稽模块来写硬盘锁岂不更好

那也得混淆一下，不然通杀岂不是更厉害

846472713

avira

kdXiaoyi

petr0vic 发表于 2021-5-1 17:58
分享资源已经删除

额，我搞了个新的帖子：
xlsx伪装毒
https://bbs.kafan.cn/thread-2207966-1-1.html
(出处: 卡饭)

这个是这个样本的改进版

秋日之殇

petr0vic 发表于 2021-5-1 17:58
分享资源已经删除

https://wwe.lanzous.com/ieF4jop4scd

petr0vic

1. https://share.weiyun.com/02Khz3hm

复制代码

分享资源已经删除

kdXiaoyi

wwwab 发表于 2021-5-1 15:04
建议不要直接释放mbrlocker.exe——本来mbrlocker.exe就被通杀了，报毒率还挺高——直接释放杀软完全可以 ...

谢谢~
但是纠正一小下：

wwwab

kdXiaoyi 发表于 2021-4-30 21:36
这个东西我写的原理如下图
杀掉后就没了下面的那个mbr锁步骤
部分杀软直接从中提取xlsx文件替换原文件 ...

建议不要直接释放mbrlocker.exe——本来mbrlocker.exe就被通杀了，报毒率还挺高——直接释放杀软完全可以直接行为杀，杀得干干净净
建议不要直接释放带有net user指令关键字的bat，有些杀软（比如瑞星）就直接以此来作为通杀的依据，那照样一释放出来就被行为杀+特征杀，杀得干干净净
建议释放出来的文件，在没有释放之前做个加密混淆，不然杀软直接进行解包，也许会连文件都还没释放出来，就让杀软检测到你要释放哪些危险文件了
建议将释放出来的xlxs设置为只读

kdXiaoyi

dreams521 发表于 2021-5-1 14:22
密码多少

大写的账户名
最后一层没密码

dreams521

kdXiaoyi 发表于 2021-5-1 14:15
是的啊，要不然怎么是三层锁？

密码多少