SKAs 全称 （SystemKernel-APIs）即 系统内核应用程序入口点

这种病毒可以获得由系统提供底层支持的 Token权限，因此就算你拿到样本，也不要在虚拟机尝试运行，后面告知你为什么不要这么做。

1.病毒由VB.net编写 .net版本为2.0  ，除特殊情况外，基本所有系统都可以运行

2.这个病毒不需要反汇编，作者公布了源代码在GitHub上面（跟MEMZ一样）基于开发平台VisualStudio2017

3.症状

3.1：运行后首先进行Token提权，然后篡改MBR/GPT的前511字节，接下来格式化所有硬盘除正在使用的C或X盘之类的，重复烧写MBR/GPT所在扇区（这样会导致整块硬盘报废掉），检测网络连接，有的话启动二级攻击，否则不开启二级攻击（这个主要是对付云查杀的"全网拉黑"）

3.2：二级攻击：结束所有非系统关键进程，创建新的线程，在新的线程上面运行烤机软件（BitCoin挖矿），在都完成之后，杀死所有系统进程，包括System进程（ntoskrnl.exe），不过是先结束的LSASS.exe（主机安全策略管理程序，就是管权限的），这样无法手动关机了，也无法退出账户、注销，然后又结束了winlogon.exe（用户登录程序），这两个是相反的，一个要往里面登入，一个拒绝登入，就会引发灰屏（BBOD）而不是（BSOD）蓝屏，然后直接内存溢出，断电重启，此时MBR已被修改，系统已经无法启动

4.为什么不让大家运行/评测？

首先，大家已经知道了这个病毒会反复擦写MBR/GPT的扇区，而恰好MBR/GPT这个扇区的寿命擦写次数也不过1000次，他里面必须要有分区表才可以当做 主/副 硬盘来使用，否则将会无法识别，而病毒则将这块区域烧写出了物理损坏，所以成块硬盘不管怎么初始化/重建引导，都会在重启后变成未分配/丢失一切，相当于整块硬盘废掉了（你会确保硬盘永远也不会有点电涌？）

5.不要再跟我提什么 沙盒、影子系统、虚拟机(VM)

云分析只是个幌子，实际上这个病毒已经具有渗透能力，不要轻易尝试，除非你很有钱，而且电脑的性能也非常的高（怎么也得是至强CPU、AMD线程撕裂者吧？）

历代SKAs

SystemKernel-APIs Gen1             2018-2-9

SystemKernel-APIs Gen2             2018-2-10

SystemKernel-APIs Gen2.1          2018-2-11

SystemKernel-APIs Gen3              2018-2-13

更多请继续关注下一次专栏，未完待续...