查看: 6790|回复: 47
收起左侧

[病毒样本] 微步公开样本中的免杀MBR病毒

  [复制链接]
火绒爃
发表于 2021-8-13 09:20:03 | 显示全部楼层 |阅读模式
本帖最后由 火绒爃 于 2021-8-13 17:46 编辑

改MBR,微步链接https://s.threatbook.cn/report/f ... p1_enx86_office2013居然支持输入解锁密码
网友测试视频【一个MBR锁 在测试的杀软中竟然只有两个杀软能防御?-哔哩哔哩】https://b23.tv/EFm87L

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +4 收起 理由
www-tekeze + 1 版区有你更精彩: )
babaj + 3 版区有你更精彩: )

查看全部评分

wowocock
发表于 2021-8-16 11:50:20 | 显示全部楼层
https://bbs.kafan.cn/forum.php?m ... &extra=#pid42835247,更新了恢复工具,可以直接进PE下恢复。这个和以前的样本有所不用,没有直接的密码,也没有加密存储密码,密码是以动态计算方式得出。所以过了那些内存DUMP取密码的软件。
eg000:00B1                      GetKeyInput     proc near               ; CODE XREF: seg000:0037↑p
seg000:00B1                                                              ; seg000:loc_4C↑p ...
seg000:00B1 31 C9                                xor     cx, cx
seg000:00B3
seg000:00B3                      loc_B3:                                 ; CODE XREF: GetKeyInput+1B↓j
seg000:00B3 B4 00                                mov     ah, 0
seg000:00B5 CD 16                                int     16h             ; KEYBOARD - READ CHAR FROM BUFFER, WAIT IF EMPTY
seg000:00B5                                                              ; Return: AH = scan code, AL = character
seg000:00B7 88 C3                                mov     bl, al
seg000:00B9 81 E3 FF 00                          and     bx, 0FFh
seg000:00BD 3C 0D                                cmp     al, 0Dh
seg000:00BF 74 EF                                jz      short locret_B0
seg000:00C1 01 D9                                add     cx, bx
seg000:00C3 B0 2A                                mov     al, 2Ah ; '*'
seg000:00C5 BB 07 00                             mov     bx, 7
seg000:00C8 B4 0E                                mov     ah, 0Eh
seg000:00CA CD 10                                int     10h             ; - VIDEO - WRITE CHARACTER AND ADVANCE CURSOR (TTY WRITE)
seg000:00CA                                                              ; AL = character, BH = display page (alpha modes)
seg000:00CA                                                              ; BL = foreground color (graphics modes)
seg000:00CC E9 E4 FF                             jmp     loc_B3
seg000:00CC                      GetKeyInput     endp
seg000:00CC

seg000:002B BE DB 00                             mov     si, 0DBh        ; Author
seg000:002E E8 70 00                             call    ShowBuffer
seg000:0031 BE FA 00                             mov     si, 0FAh        ; EnterPassWord
seg000:0034 E8 6A 00                             call    ShowBuffer
seg000:0037 E8 77 00                             call    GetKeyInput
seg000:003A 81 F9 1D 02                          cmp     cx, 21Dh
seg000:003E 74 33                                jz      short PasswordOk
seg000:0040
seg000:0040                      loc_40:                                 ; DATA XREF: ShowBuffer:loc_A8↓r
seg000:0040                                                              ; GetKeyInput+19↓r
seg000:0040 BE 0C 01                             mov     si, 10Ch        ; wrong password
seg000:0043 E8 5B 00                             call    ShowBuffer
seg000:0046 BE FA 00                             mov     si, 0FAh        ; EnterPassWord
seg000:0049 E8 55 00                             call    ShowBuffer
seg000:004C
seg000:004C                      loc_4C:                                 ; DATA XREF: seg000:0096↓r
seg000:004C E8 62 00                             call    GetKeyInput
seg000:004F 81 F9 1D 02                          cmp     cx, 21Dh
seg000:0053
seg000:0053                      loc_53:
seg000:0053 74 1E                                jz      short PasswordOk
seg000:0055 BE 2A 01                             mov     si, 12Ah        ; wrong password lat time
seg000:0058
seg000:0058                      loc_58:                                 ; DATA XREF: GetKeyInput+4↓r
seg000:0058                                                              ; checkPressEnter+2↓r
seg000:0058 E8 46 00                             call    ShowBuffer
seg000:005B BE FA 00                             mov     si, 0FAh
seg000:005E E8 40 00                             call    ShowBuffer
seg000:0061 E8 4D 00                             call    GetKeyInput
seg000:0064 81 F9 1D 02                          cmp     cx, 21Dh
seg000:0068 74 09                                jz      short PasswordOk
seg000:006A BE 4C 01                             mov     si, 14Ch        ; WrongPassWord
seg000:006D E8 31 00                             call    ShowBuffer
seg000:0070
ASCII 按键和为0X21D的才是正确的密码。当然简单的用我工具PE下直接修复即可。

评分

参与人数 1人气 +1 收起 理由
www-tekeze + 1 版区有你更精彩: )

查看全部评分

正在缓冲
头像被屏蔽
发表于 2021-8-13 09:24:31 | 显示全部楼层
本帖最后由 正在缓冲 于 2021-8-13 10:27 编辑

Kaspersky下载拦截

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
hipoxiaxxx
发表于 2021-8-13 09:27:21 | 显示全部楼层
本帖最后由 hipoxiaxxx 于 2021-8-13 09:33 编辑

费尔扫描干掉

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
huorong + 1 宝刀未老

查看全部评分

Nocria
发表于 2021-8-13 09:27:30 | 显示全部楼层
本帖最后由 Nocria 于 2021-8-13 09:35 编辑

EMSISOFT



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
11111111111445
发表于 2021-8-13 09:28:54 | 显示全部楼层
火绒miss
a233
发表于 2021-8-13 09:29:45 | 显示全部楼层
AhnLab

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
心心相印
发表于 2021-8-13 09:32:45 | 显示全部楼层
Avira miss
huajiajie
发表于 2021-8-13 09:40:39 | 显示全部楼层
Norton Miss

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ly9327
发表于 2021-8-13 09:45:56 | 显示全部楼层
BD MISS

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
tomochan
发表于 2021-8-13 09:48:52 | 显示全部楼层
本帖最后由 tomochan 于 2021-8-13 10:22 编辑

智量Trojan.Generic
关闭基础监控双击,主防拦截WIBD.HEUR.DiskWriter.A

卡巴斯基实体机扫描显示没有威胁(病毒库半小时前更新)
结果一拖进虚拟机就被虚拟机里的卡巴干掉了(病毒库三天前),虽然是云拉黑


AVG双击,显示象征性在CC里跑了下提示文件安全
然后运行后系统NG....miss



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-18 04:48 , Processed in 0.134820 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表