杀软AI及云响应测试|#spx #ransom 自制概念性证明程序，实机过WD、卡巴，VT13家报

K560987

syswow64 发表于 2022-1-1 21:43
卡巴已UDS拉黑，但是修改MD5之后主防不杀，我无论如何也跑不出加密动作，只是加密了但没有删除源文件就自动 ...

可能环境不兼容，VT 云沙盒能跑出全部行为

swizzer

syswow64 发表于 2022-1-1 21:43
卡巴已UDS拉黑，但是修改MD5之后主防不杀，我无论如何也跑不出加密动作，只是加密了但没有删除源文件就自动 ...

edited，想的太理所当然了

K560987

swizzer 发表于 2022-1-1 21:59
本来就不是严格意义上的勒索啊···

看楼主描述，再运行一次即可解密

我只是合并了加密器与解密器，而且需要密钥才能解密。程序运行过程中有使用密钥加密及解密的环节，除了没真正勒索赎金外，其余行为与传统勒索一致

syswow64

K560987 发表于 2022-1-1 21:56
可能环境不兼容，VT 云沙盒能跑出全部行为

看起来是的，我在不同路径下能跑出不同行为，然后程序闪退，啥行为也没有

Miostartos

McAfee没反应
另外沙盘跑和前述那位NS的老兄一样

NICO-COOPER

webroot启发开到最高，解压后秒杀，没敢双击，今天已经怕了

病毒样本收集者

秋日之殇 发表于 2022-1-1 19:21
卡巴sw被过了

       
已阻止下载危险对象
已阻止下载用来感染您的计算机、降低其速度、破坏系统或导致其他问题的恶意文件或其他对象。

您被 Kaspersky 安全软件保护以防止下载该对象。您可以无风险地关闭该窗口。

隐藏详情

检测时间: 2022/1/2 7:35:29

网址: https://bbs.kafan.cn/forum.php?m ... jV8MjIyNDU2MA%3D%3D

原因: 对象被感染 HEUR:Trojan.Win32.Agentb.gen
网址拦截

ANY.LNK

anthonyqian 发表于 2022-1-1 21:17
又给了另一个报法 Trojan:Win32/Sabsik.FL.A!ml

正常，在最终入库前的确会这样变来变去的

QVM360

       
已阻止下载危险对象
已阻止下载用来感染您的计算机、降低其速度、破坏系统或导致其他问题的恶意文件或其他对象。

您被 Kaspersky 安全软件保护以防止下载该对象。您可以无风险地关闭该窗口。

隐藏详情

检测时间: 2022/1/2 9:11:43

网址: https://bbs.kafan.cn/forum.php?m ... jV8MjIyNDU2MA%3D%3D

原因: 对象被感染 HEUR:Trojan.Win32.Agentb.gen

anthonyqian

ANY.LNK 发表于 2022-1-2 08:30
正常，在最终入库前的确会这样变来变去的

昨天好像MD隔离了很久还是没隔离成功。。。。