“安全者”病毒样本

显示全部楼层 · 发表于 2021-12-5 11:01:55

00006666 发表于 2021-12-5 08:30
PostThreadMessage……

。。。所调用的内核函数

R3 Hook太容易绕过了，所以要R0

显示全部楼层 · 发表于 2021-12-5 11:26:02

本帖最后由 00006666 于 2021-12-5 11:27 编辑

a27573 发表于 2021-12-5 11:01
。。。所调用的内核函数

R3 Hook太容易绕过了，所以要R0

对付这种R3阴间结束，应该学习360急救箱，随机进程名运行……

显示全部楼层 · 发表于 2021-12-5 11:35:44

本帖最后由 00006666 于 2021-12-5 11:45 编辑

a27573 发表于 2021-12-5 10:58
只贴了Kill AV的部分
Kill文件是用cmd命令先获取所有权，修改访问权限后重命名所有sys的后缀
Kill MBR ...

是不是类似char mbr[512] = {0}; fwrite()写入

显示全部楼层 · 发表于 2021-12-5 11:43:12

Hello,

New malicious software was found in the attached file.
Trojan.Win64.KillWin.a
Its detection will be included in the next update.
Thank you for your help.

可以上报了

显示全部楼层 · 发表于 2021-12-5 11:45:51

wwwab 发表于 2021-12-5 11:43
可以上报了

可以通过opentip直接上报了吗？

显示全部楼层 · 发表于 2021-12-5 11:46:43

秋日之殇发表于 2021-12-5 11:45
可以通过opentip直接上报了吗？

opentip不是早就可以了嘛，那个格式套上去也有回复的啊

显示全部楼层 · 发表于 2021-12-5 11:57:29

正在缓冲发表于 2021-12-4 11:48
Avast miss，未启用上报
运行后加强模式拦截，关闭加强模式后CyberCapture翻车

蚌埠住了

显示全部楼层 · 发表于 2021-12-5 13:30:49

00006666 发表于 2021-12-5 11:35
是不是类似char mbr[512] = {0}; fwrite()写入

不止，还有IOCTL_DISK_DELETE_DRIVE_LAYOUT

显示全部楼层 · 发表于 2021-12-5 13:39:07

md asr blocked

显示全部楼层 · 发表于 2021-12-5 15:52:26

Ahnlab V3 Lite Miss

[病毒样本] “安全者”病毒样本

评分

[病毒样本] “安全者”病毒 样本

评分

[病毒样本] “安全者”病毒样本