楼主: 火绒爃
收起左侧

[病毒样本] 微步公开样本中的免杀MBR病毒

  [复制链接]
aphorism
发表于 2021-8-16 10:32:18 | 显示全部楼层
企稳向好 发表于 2021-8-12 23:15
几年了,BD的MBR保护真就一点改善都没有,你哪怕拦个低级磁盘访问也行啊

GKR中华什么嘉可以拦,但都是早年的事了,现在黄了
aphorism
发表于 2021-8-16 10:33:07 | 显示全部楼层
wwwab 发表于 2021-8-13 02:45
360已入库:
大蜘蛛已入库:

大蜘蛛也翻车了?
aphorism
发表于 2021-8-16 10:33:50 | 显示全部楼层
a233 发表于 2021-8-13 04:50
Panda Dome
刚双击就杀

我之前也用的熊猫,扫描能查出来吗
wowocock
发表于 2021-8-16 11:50:20 | 显示全部楼层
https://bbs.kafan.cn/forum.php?m ... &extra=#pid42835247,更新了恢复工具,可以直接进PE下恢复。这个和以前的样本有所不用,没有直接的密码,也没有加密存储密码,密码是以动态计算方式得出。所以过了那些内存DUMP取密码的软件。
eg000:00B1                      GetKeyInput     proc near               ; CODE XREF: seg000:0037↑p
seg000:00B1                                                              ; seg000:loc_4C↑p ...
seg000:00B1 31 C9                                xor     cx, cx
seg000:00B3
seg000:00B3                      loc_B3:                                 ; CODE XREF: GetKeyInput+1B↓j
seg000:00B3 B4 00                                mov     ah, 0
seg000:00B5 CD 16                                int     16h             ; KEYBOARD - READ CHAR FROM BUFFER, WAIT IF EMPTY
seg000:00B5                                                              ; Return: AH = scan code, AL = character
seg000:00B7 88 C3                                mov     bl, al
seg000:00B9 81 E3 FF 00                          and     bx, 0FFh
seg000:00BD 3C 0D                                cmp     al, 0Dh
seg000:00BF 74 EF                                jz      short locret_B0
seg000:00C1 01 D9                                add     cx, bx
seg000:00C3 B0 2A                                mov     al, 2Ah ; '*'
seg000:00C5 BB 07 00                             mov     bx, 7
seg000:00C8 B4 0E                                mov     ah, 0Eh
seg000:00CA CD 10                                int     10h             ; - VIDEO - WRITE CHARACTER AND ADVANCE CURSOR (TTY WRITE)
seg000:00CA                                                              ; AL = character, BH = display page (alpha modes)
seg000:00CA                                                              ; BL = foreground color (graphics modes)
seg000:00CC E9 E4 FF                             jmp     loc_B3
seg000:00CC                      GetKeyInput     endp
seg000:00CC

seg000:002B BE DB 00                             mov     si, 0DBh        ; Author
seg000:002E E8 70 00                             call    ShowBuffer
seg000:0031 BE FA 00                             mov     si, 0FAh        ; EnterPassWord
seg000:0034 E8 6A 00                             call    ShowBuffer
seg000:0037 E8 77 00                             call    GetKeyInput
seg000:003A 81 F9 1D 02                          cmp     cx, 21Dh
seg000:003E 74 33                                jz      short PasswordOk
seg000:0040
seg000:0040                      loc_40:                                 ; DATA XREF: ShowBuffer:loc_A8↓r
seg000:0040                                                              ; GetKeyInput+19↓r
seg000:0040 BE 0C 01                             mov     si, 10Ch        ; wrong password
seg000:0043 E8 5B 00                             call    ShowBuffer
seg000:0046 BE FA 00                             mov     si, 0FAh        ; EnterPassWord
seg000:0049 E8 55 00                             call    ShowBuffer
seg000:004C
seg000:004C                      loc_4C:                                 ; DATA XREF: seg000:0096↓r
seg000:004C E8 62 00                             call    GetKeyInput
seg000:004F 81 F9 1D 02                          cmp     cx, 21Dh
seg000:0053
seg000:0053                      loc_53:
seg000:0053 74 1E                                jz      short PasswordOk
seg000:0055 BE 2A 01                             mov     si, 12Ah        ; wrong password lat time
seg000:0058
seg000:0058                      loc_58:                                 ; DATA XREF: GetKeyInput+4↓r
seg000:0058                                                              ; checkPressEnter+2↓r
seg000:0058 E8 46 00                             call    ShowBuffer
seg000:005B BE FA 00                             mov     si, 0FAh
seg000:005E E8 40 00                             call    ShowBuffer
seg000:0061 E8 4D 00                             call    GetKeyInput
seg000:0064 81 F9 1D 02                          cmp     cx, 21Dh
seg000:0068 74 09                                jz      short PasswordOk
seg000:006A BE 4C 01                             mov     si, 14Ch        ; WrongPassWord
seg000:006D E8 31 00                             call    ShowBuffer
seg000:0070
ASCII 按键和为0X21D的才是正确的密码。当然简单的用我工具PE下直接修复即可。

评分

参与人数 1人气 +1 收起 理由
www-tekeze + 1 版区有你更精彩: )

查看全部评分

wwwab
发表于 2021-8-16 15:22:41 | 显示全部楼层
密码为: "ddddd)" (密码不唯一, 输入的字符串asci之和等于541即可),由于该样本直接覆盖了mbr (没有备份),所以即使输入正确密码也无法恢复

wowocock
发表于 2021-8-16 15:31:37 | 显示全部楼层

MBR,备份在后面的扇区,但他这个写的有问题,密码正确也不会写回备份的扇区,只是把原始MBR加载到内存中执行,其实WIN在登录过程中,还要读取MBR的,导致密码正确也登录不了WINDOWS,不过可以进PE用我的工具修复,然后重启即可。
wwwab
发表于 2021-8-18 17:03:23 | 显示全部楼层
wwwab 发表于 2021-8-13 16:58
AhnLab上报以后回复N/A……

时隔多天,AhnLab终于回复我说入库了……

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
wwwab
发表于 2021-8-22 09:03:46 | 显示全部楼层
铁壳云入库

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 02:01 , Processed in 0.093481 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表