KillMBR1x

救命稻草

NICO-COOPER 发表于 2022-1-14 13:52
Emsisoft下载拦截，对于ATD和BB来说，killMBR还是得靠入库，这俩就没一个双击能拦住的

还有GD，BD系的主防这方面都是弱项。

Eset小粉絲

ICzcz 发表于 2022-1-14 14:31
我这边上报的他们一个都没回复。。

https://bbs.kafan.cn/thread-2225227-1-1.html

我昨天上报了这个，也没收到回复，但有处理

ICzcz

Eset小粉絲 发表于 2022-1-14 14:46
https://bbs.kafan.cn/thread-2225227-1-1.html

我昨天上报了这个，也没收到回复，但有处理

我的是又不处理又不回复

会不会是他们看到时已经处理了，就懒得回复我了？

Eset小粉絲

ICzcz 发表于 2022-1-14 14:47
我的是又不处理又不回复

会不会是他们看到时已经处理了，就懒得回复我了？

https://bbs.kafan.cn/thread-2225005-1-1.html

要不你试试看以误报提交这个样本？这样本我还没提交。

看看会不会回复你

ICzcz

Eset小粉絲 发表于 2022-1-14 14:52
https://bbs.kafan.cn/thread-2225005-1-1.html

要不你试试看以误报提交这个样本？这样本我还没提交。 ...

好鸭好鸭谢谢

复负复

救命稻草 发表于 2022-1-14 14:43
还有GD，BD系的主防这方面都是弱项。

BB还是给力的，就是处理MBR有点滞后

aboringman

ericdj 发表于 2022-1-14 13:31
nll 扫描miss

Norton：

1. 文件名: KillMBR.exe
   
2. 威胁名称: WS.Reputation.1完整路径: D:\test\KillMBR.exe
   
3. 
   
4. ____________________________
   
5. 
   
6. ____________________________
   
7. 
   
8. 
   
9. 在电脑上
   
10. 2022/1/14 ( 14:58:33 )
    
11. 
    
12. 上次使用时间
    
13. 2022/1/14 ( 15:00:33 )
    
14. 
    
15. 启动项
    
16. 否
    
17. 
    
18. 已启动
    
19. 否
    
20. 
    
21. 威胁类型: 智能网络威胁。 很多迹象表明此文件不可信任，不安全
    
22. 
    
23. ____________________________
    
24. 
    
25. 
    
26. KillMBR.exe 威胁名称: WS.Reputation.1
    
27. 定位
    
28. 
    
29. 
    
30. 极少用户信任的文件
    
31. Norton 社区中有不到 5 名用户 使用了此文件。
    
32. 
    
33. 极新的文件
    
34. 该文件已在 不到 1 周 前发行。
    
35. 
    
36. 中
    
37. 此文件具有中等程度风险。
    
38. 
    
39. 
    
40. ____________________________
    
41. 
    
42. 
    
43. https://bbs.kafan.cn/forum.php?mod=attachment&aid=MzI1MTIyMnw2ZmUzZWNjYXwxNjQyMTQzNTM3fDEwMDA1MDF8MjIyNTMwOQ==
    
44. 已下载文件  从 bbs.kafan.cn
    
45. 来源: 外部介质
    
46. 
    
47. KillMBR.exe
    
48. 
    
49. ____________________________
    
50. 
    
51. 文件操作
    
52. 
    
53. 文件: D:\test\ KillMBR.exe 已删除
    
54. ____________________________
    
55. 
    
56. 
    
57. 文件指纹 - SHA:
    
58. 1bddc23c4c0612e08c64b8183afdd605827a360774e82b48bab06b6c38f98aa8
    
59. 文件指纹 - MD5:
    
60. ca55d88160323f8a26cc1907847591c5
    

复制代码

双击，触发DP，关闭窗口后蓝屏重启，正常进入系统。

1. 2022/1/14 15:04:54,高,Data Protector 已阻止 KillMBR.exe 执行的可疑操作,已阻止操作,不需要操作,已阻止操作,C:\Users\123\Desktop\KillMBR.exe,KillMBR.exe,2022/1/14 15:04:54,可疑进程尝试向存储卷写入,C:
   
2. 2022/1/14 15:04:54,高,Data Protector 已阻止 KillMBR.exe 执行的可疑操作,已阻止操作,不需要操作,已阻止操作,C:\Users\123\Desktop\KillMBR.exe,KillMBR.exe,2022/1/14 15:04:54,可疑进程尝试向存储卷写入,\Device\Harddisk0\DR0

复制代码

MB：

1. Malware.AI.2844840476, D:\360安全浏览器下载\KILLMBR.EXE, 使用者無動作, 1000000, 0, 1.0.49795, 3450A48B909671FCA990D21C, dds, 01597684, CA55D88160323F8A26CC1907847591C5, 1BDDC23C4C0612E08C64B8183AFDD605827A360774E82B48BAB06B6C38F98AA8

复制代码

NICO-COOPER

复负复 发表于 2022-1-14 14:56
BB还是给力的，就是处理MBR有点滞后

Emsisoft的企业版其实挺不错的就是缺少firewall，如果病毒过了扫描和BB那就畅行无阻了，有墙的话好歹可以拦截一部分需要联网的病毒。系统墙不配置的话就是个大漏勺，一键锁网倒是挺方便可是平时不能一直用啊。

swizzer

NICO-COOPER 发表于 2022-1-14 13:52
Emsisoft下载拦截，对于ATD和BB来说，killMBR还是得靠入库，这俩就没一个双击能拦住的

我记得EMSI的BB专门有对MBR的保护啊···

如果没有的话，试试调一下BB等级？
之前见过几次BB提示拦截修改MBR的弹窗了

Opera~

Norton扫描miss 双击DP拦了 关掉窗口后确实蓝屏 重启后一切正常