楼主: wwwab
收起左侧

[病毒样本] “安全者”病毒 样本

  [复制链接]
a27573
发表于 2021-12-5 11:01:55 | 显示全部楼层
00006666 发表于 2021-12-5 08:30
PostThreadMessage……

。。。所调用的内核函数

R3 Hook太容易绕过了,所以要R0
00006666
发表于 2021-12-5 11:26:02 | 显示全部楼层
本帖最后由 00006666 于 2021-12-5 11:27 编辑
a27573 发表于 2021-12-5 11:01
。。。所调用的内核函数

R3 Hook太容易绕过了,所以要R0

对付这种R3阴间结束,应该学习360急救箱,随机进程名运行……

评分

参与人数 1人气 +1 收起 理由
a27573 + 1 确实,就是容易被误认成病毒

查看全部评分

00006666
发表于 2021-12-5 11:35:44 | 显示全部楼层
本帖最后由 00006666 于 2021-12-5 11:45 编辑
a27573 发表于 2021-12-5 10:58
只贴了Kill AV的部分
Kill文件是用cmd命令先获取所有权,修改访问权限后重命名所有sys的后缀
Kill MBR ...

是不是类似char mbr[512] = {0};  fwrite()写入
wwwab
 楼主| 发表于 2021-12-5 11:43:12 | 显示全部楼层
Hello,

New malicious software was found in the attached file.
Trojan.Win64.KillWin.a
Its detection will be included in the next update.
Thank you for your help.

可以上报了
秋日之殇
发表于 2021-12-5 11:45:51 | 显示全部楼层

可以通过opentip直接上报了吗?
wwwab
 楼主| 发表于 2021-12-5 11:46:43 | 显示全部楼层
秋日之殇 发表于 2021-12-5 11:45
可以通过opentip直接上报了吗?

opentip不是早就可以了嘛,那个格式套上去也有回复的啊
huhus123
发表于 2021-12-5 11:57:29 | 显示全部楼层
正在缓冲 发表于 2021-12-4 11:48
Avast miss,未启用上报
运行后加强模式拦截,关闭加强模式后CyberCapture翻车

蚌埠住了
a27573
发表于 2021-12-5 13:30:49 | 显示全部楼层
00006666 发表于 2021-12-5 11:35
是不是类似char mbr[512] = {0};  fwrite()写入

不止,还有IOCTL_DISK_DELETE_DRIVE_LAYOUT
心心相印
发表于 2021-12-5 13:39:07 | 显示全部楼层
md asr blocked
ytysh
发表于 2021-12-5 15:52:26 | 显示全部楼层
Ahnlab V3 Lite Miss
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 21:23 , Processed in 0.090268 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表