微步公开样本中的免杀MBR病毒

火绒爃

改MBR，微步链接https://s.threatbook.cn/report/f ... p1_enx86_office2013居然支持输入解锁密码
网友测试视频【一个MBR锁 在测试的杀软中竟然只有两个杀软能防御？-哔哩哔哩】https://b23.tv/EFm87L

wowocock

https://bbs.kafan.cn/forum.php?m ... &extra=#pid42835247，更新了恢复工具，可以直接进PE下恢复。这个和以前的样本有所不用，没有直接的密码，也没有加密存储密码，密码是以动态计算方式得出。所以过了那些内存DUMP取密码的软件。
eg000:00B1                      GetKeyInput     proc near               ; CODE XREF: seg000:0037↑p
seg000:00B1                                                              ; seg000:loc_4C↑p ...
seg000:00B1 31 C9                                xor     cx, cx
seg000:00B3
seg000:00B3                      loc_B3:                                 ; CODE XREF: GetKeyInput+1B↓j
seg000:00B3 B4 00                                mov     ah, 0
seg000:00B5 CD 16                                int     16h             ; KEYBOARD - READ CHAR FROM BUFFER, WAIT IF EMPTY
seg000:00B5                                                              ; Return: AH = scan code, AL = character
seg000:00B7 88 C3                                mov     bl, al
seg000:00B9 81 E3 FF 00                          and     bx, 0FFh
seg000:00BD 3C 0D                                cmp     al, 0Dh
seg000:00BF 74 EF                                jz      short locret_B0
seg000:00C1 01 D9                                add     cx, bx
seg000:00C3 B0 2A                                mov     al, 2Ah ; '*'
seg000:00C5 BB 07 00                             mov     bx, 7
seg000:00C8 B4 0E                                mov     ah, 0Eh
seg000:00CA CD 10                                int     10h             ; - VIDEO - WRITE CHARACTER AND ADVANCE CURSOR (TTY WRITE)
seg000:00CA                                                              ; AL = character, BH = display page (alpha modes)
seg000:00CA                                                              ; BL = foreground color (graphics modes)
seg000:00CC E9 E4 FF                             jmp     loc_B3
seg000:00CC                      GetKeyInput     endp
seg000:00CC

seg000:002B BE DB 00                             mov     si, 0DBh        ; Author
seg000:002E E8 70 00                             call    ShowBuffer
seg000:0031 BE FA 00                             mov     si, 0FAh        ; EnterPassWord
seg000:0034 E8 6A 00                             call    ShowBuffer
seg000:0037 E8 77 00                             call    GetKeyInput
seg000:003A 81 F9 1D 02                          cmp     cx, 21Dh
seg000:003E 74 33                                jz      short PasswordOk
seg000:0040
seg000:0040                      loc_40:                                 ; DATA XREF: ShowBuffer:loc_A8↓r
seg000:0040                                                              ; GetKeyInput+19↓r
seg000:0040 BE 0C 01                             mov     si, 10Ch        ; wrong password
seg000:0043 E8 5B 00                             call    ShowBuffer
seg000:0046 BE FA 00                             mov     si, 0FAh        ; EnterPassWord
seg000:0049 E8 55 00                             call    ShowBuffer
seg000:004C
seg000:004C                      loc_4C:                                 ; DATA XREF: seg000:0096↓r
seg000:004C E8 62 00                             call    GetKeyInput
seg000:004F 81 F9 1D 02                          cmp     cx, 21Dh
seg000:0053
seg000:0053                      loc_53:
seg000:0053 74 1E                                jz      short PasswordOk
seg000:0055 BE 2A 01                             mov     si, 12Ah        ; wrong password lat time
seg000:0058
seg000:0058                      loc_58:                                 ; DATA XREF: GetKeyInput+4↓r
seg000:0058                                                              ; checkPressEnter+2↓r
seg000:0058 E8 46 00                             call    ShowBuffer
seg000:005B BE FA 00                             mov     si, 0FAh
seg000:005E E8 40 00                             call    ShowBuffer
seg000:0061 E8 4D 00                             call    GetKeyInput
seg000:0064 81 F9 1D 02                          cmp     cx, 21Dh
seg000:0068 74 09                                jz      short PasswordOk
seg000:006A BE 4C 01                             mov     si, 14Ch        ; WrongPassWord
seg000:006D E8 31 00                             call    ShowBuffer
seg000:0070
ASCII 按键和为0X21D的才是正确的密码。当然简单的用我工具PE下直接修复即可。

正在缓冲

Kaspersky下载拦截

hipoxiaxxx

费尔扫描干掉

Nocria

EMSISOFT

11111111111445

火绒miss

a233

AhnLab

心心相印

Avira miss

huajiajie

Norton Miss

ly9327

BD MISS

tomochan

智量Trojan.Generic
关闭基础监控双击，主防拦截WIBD.HEUR.DiskWriter.A

卡巴斯基实体机扫描显示没有威胁（病毒库半小时前更新）
结果一拖进虚拟机就被虚拟机里的卡巴干掉了（病毒库三天前），虽然是云拉黑


AVG双击，显示象征性在CC里跑了下提示文件安全
然后运行后系统NG....miss

没有名字ssss

巨硬用ASR阻止的，扫描无反应

eternity.

To ESET.

Thank you for your submission.
The detection for this threat will be included in the next update of detection engine, expected version: 23787.

KNmbr.exe - MSIL/KillMBR.T trojan

Regards,

ESET Malware Response Team

babaj

火绒miss

Shake2333

Bitdefender双击完蛋

wwwab

wd miss

yfh

火绒 miss

ANY.LNK

Microsoft Defender：当前解压暂时报告Trojan:Win32/Tiggre!rfn

丿独行者丶

yfh 发表于 2021-8-13 12:20
火绒 miss

双击可以拦截，重启后没事

kim545

Shake2333 发表于 2021-8-13 10:18
Bitdefender双击完蛋

貌似BD对mbr病毒一直很垃圾，估计他认为你们都是gpt分区不影响？你这个双击蚌埠住了

huicuan

tomochan 发表于 2021-8-13 09:48
智量Trojan.Generic
关闭基础监控双击，主防拦截WIBD.HEUR.DiskWriter.A

智量还是可以的哈