mbrlock

UNknownOoo

智量
扫描：Heur.ML.PE.B
双击：本体报WIBD:HEUR.MalDropper.E0，触发威胁缓解

huangzihang

anthonyqian 发表于 2022-7-30 19:15
卡巴还没拉黑，只能上报了。。。

这种样本无所谓，不同注释+无用代码+相同壳能生成无数个不一样的，双击杀衍生物，又不是像magniber那样杀不了。

Nocria

IKARUS

1. Date and Time: 7/30/2022 9:16:14 PM
   
2. File Size: 2179.02 kB
   
3. Detection Name: PUA.NoobyProtect
   
4. Detection-ID: 3296670
   
5. Suggestion: Backup
   
6. File Name: 凉菜辅助Ver1.0.exe.exe
   
7. Original Path: C:\Users\promi\Desktop
   

复制代码

anthonyqian

huangzihang 发表于 2022-7-30 20:44
这种样本无所谓，不同注释+无用代码+相同壳能生成无数个不一样的，双击杀衍生物，又不是像magniber那样杀 ...

不知道为啥opentip没有跑出行为。。
——————

拉黑了，Agent入库。但还没回复我

00006666

anthonyqian 发表于 2022-7-30 21:17
不知道为啥opentip没有跑出行为。。
——————

样本有开SE壳的检测功能，可能是opentip沙箱那边有调试器进程等，被检测到了，会终止运行

https://sandbox.ti.qianxin.com/sandbox/page/detail?type=file&id=AYJNLEdrCf0-QUp-1eHO

huangzihang

00006666 发表于 2022-7-30 21:25
样本有开SE壳的检测功能，可能是opentip沙箱那边有调试器进程等，被检测到了，会终止运行

https://san ...

我在sandboxie里能跑起来

00006666

huangzihang 发表于 2022-7-30 21:37
我在sandboxie里能跑起来

没反虚拟机，有反调试器，你试试OD会不会触发SE壳默认的那种检测到调试器弹窗

火绒爃

00006666 发表于 2022-7-30 16:14
就类似VMP那种，现在他们那边有类似给程序加VMPSDK用的易语言模块这类的东西，其他的虚拟壳可能也有类似 ...

那估计就是用了模块或者相关代码，如果直接exe加壳运行后附加内存里应该能找到密码（毕竟实现MBR锁绝对是用的模块）

纽盖特

清空