精睿包中发现一枚ZeroAccess【MA ESET 黑寡妇 迈克菲 卡巴，双击大战ZeroAccess变种】

驭龙

我早就发现Sirefef在今年上半年死灰复燃，出现新变种了，今天在精睿包发现一枚，我就提取出来，让双击党来玩玩，我很好奇现在的Norton能防御吗？不过这个样本是被Norton入库的，只能双击玩了。

微软基准线报Sirefef.BB变种。
http://www.microsoft.com/securit ... aWin32%2fSirefef.BB


请小心，是ZeroAccess病毒，不要实机下载和双击，否则后果自负。
很多人不听劝阻在实机玩ZA，为了避免再有人实机玩ZA，样本已经删除。

@胖福    福哥来玩玩这个ZA吧。

注意：以下双击结果仅供参考，毕竟一个样本不能代表什么，仅仅是一个参考而已，不代表五款软件的真实水平。
=====================================================
基准线关闭文件监控，双击样本，被进程监控方式杀，轻松拿下，我没发现有残余驱动。


更新一下我重新测试的结果，很多系统的驱动依然被锁，应该是拦截失败了，不过我重新启动Windows以后，运行PC Hunter没有提示ZA，但是系统驱动还是被锁，并没有完全成功拦截。

===========================================================
关闭基准线全部监控，运行ZA以后，重启动win，基准线的用户进程没有启动。
PC Hunter报告有ZA。


基准线启动项被篡改，但内核正常。


MA监控无反应，正在快速扫描中，扫描完成，无法发现隐藏的ZA

============================================================
DrWeb 11 Beta版，关闭Spider Guard以后，首次双击ZA，强大的预防性保护中DPH杀，彻彻底底的杀。


系统驱动没有被锁，一切正常。


本想再双击ZA，结果释放出的新样本依然被黑寡妇锁定，只能重启动。


重启动Windows 以后，关闭Spider Guard和预防性保护，运行ZA，ZA联网被DrWeb防火墙发现。


系统驱动被ZA锁定。


恢复DrWeb的预防性保护，杀一个驱动文件。


再次重新启动Windows以后，虽然驱动依然被锁定，但是PC Hunter并没有发现ZeroAccess在系统中，ZA应该是被黑寡妇杀了。


值得注意的是，我本想再次运行ZA，但是DrWeb的DPH死活不在杀ZA了，很奇怪的情况。
============================================================
应邀测试一下ESET的9.0 Beta对抗ZeroAccess的情况。
关闭文件监控以后，双击ZA，HIPS中的高级内存扫描杀ZA，也就是Sirefef。


系统驱动没有被锁，PC Hunter没有发现ZA，应该是防御成功。


ESET的主防需要重新启动才能关闭，我关闭主防重启Windows，之后已经成功关闭主防和文件监控，双击ZA，运行成功自我删除，系统驱动被锁，哦，ESET的驱动也被锁了？


为开启主防，再次重新启动Windows，监控全部恢复，却没有报毒，扫描引导区和内存，没有发现隐蔽的ZA，无法清除。


PC Hunter依然能发现ZA的存在，ESET无法检测到，跟基准线的表现差不多，只是ESET的内存监控可以成功防御。

==========================================================
断网以后，McAfee的最新版个人版本地库杀，由于监控是一体化，无法测双击。


关闭文件监控以后，让ZA运行，WD这货跑出来干啥，跳过，让系统驱动被锁吧。


重启动以后ZA成功运行。


McAfee快速扫描发现ZA本体。


这次被篡改的系统文件，也就是ZA本体是tunnel。


吃晚饭以后重启动Windows，PC Hunter没有发现ZA，迈克菲监控把之前的本体残余杀掉。


真正的病毒本体被McAfee改名，所以可以重启动删除。


McAfee的效果相当不错，再次重启动Windows以后依然无ZA的存在，不错的效果。
==========================================================
应邀测试卡巴斯基，我用的是最新版本的2016 RC版，今天11点的病毒库。
由于卡巴需要.NET 4，所以直接用Windows 8.1系统测试。
文件监控启发杀，奇怪这个不是已经入库了吗。


为什么杀一个死毒也要求重启动？


关闭文件监控以后双击，被应用程序控制拦截。


关闭文件监控和应用程序控制以后，双击ZA，PDM拦截，但是驱动文件被锁转变成蓝色，跟基准线双击的时候差不多。


重启动Windows以后，关闭全部监控，让ZA成功运行，PC Hunter成功检测到ZA。


吃完饭回来，继续重新启动Windows，卡巴监控全开，无法发现系统中的ZA。


使用快速扫描，成功发现ZA的存在，点击清除并重启计算机。


卡巴开始启动高级清除，清理ZA并且重新启动。


重新启动Windows以后，PC Hunter没有发现ZA，但是还是有一个可疑PE。


再次重新启动Windows，一切正常，没有可疑PE的存在，只是重启动次数有一点多。


卡巴的成绩还是不错的，起码杀掉了ZA本体，已经很不错了。

驭龙

230f4 发表于 2015-7-10 12:57
告诉我有什么行为，不危险的话我试试

是最危险的一个高档Rootkits哟，不建议实机玩，因为是当初轰动一时的ZeroAccess

胖福

驭龙 发表于 2015-7-10 13:04
我在想，能不能文件排除，而不是SONAR排除，然后双击，会是什么后果，是入库的报法还是SONAR，或者干脆不 ...

我先试着把文件放到一个诺顿不检测的文件夹里面运行，结果自动防护检测到被释放到C盘的一个sys文件，但是却无法删除，提示需要专用工具！防火墙自动也拦截了文件的联网行为！

bbszy

刚从在win7 x86虚拟机中又测了一下诺顿22.5

先关autoprotect（顺带sonar关了），然后运行样本。

防火墙阻止了样本联网。系统部分驱动被锁。

诺顿的文件、驱动、进程正常。

恢复监控，一两分钟内未见弹窗提示。开始快速扫描。

扫描报了两个：


报Trojan.Zeroaccess!inf的需要工具清除，另一个说要重启清除。重启前运行pchunter未提示有ZA!

重启后在进入欢迎界面前，黑屏，并显示symantec is cleaning threat……进入系统后，系统部分驱动依然被锁。运行pchunter未提示有ZA，但驱动模块页面显示有一个可疑驱动对象（测试趋势的时候，显示有两个）。

实测NPE无法清除。

通过诺顿的检测结果说“需要工具清除”，到铁壳的网站下载的ZA fix tool，运行提示说未发现感染。。。。

驭龙

bbszy 发表于 2015-7-11 18:52
那确实是解决了。。。

话说感染之后扫描能解决都不错了。

嗯，McAfee是先把内存中的ZA模块解决掉，然后把被篡改的驱动后缀更改为ZYS，让ZA本体无法在下次重启动的时候死灰复燃，重启动以后再把ZA本体的尸体删除，就彻底解决ZA不死之身的问题了

因为驱动架构在那里摆着

白露为霜

za是这样的啊http://bbs.kafan.cn/thread-1093019-1-1.html

bbszy

最新测试，趋势成功清除了！

测试环境：win7 x86 vmware 虚拟机，trendmicro internet security 英文版。

为了防止测试的偶然性，用同样的干净win7系统虚拟机快照测试了两遍。

过程：

1.安装趋势，更新，重启。

2.通过托盘图标关闭监控。运行样本。

3.样本成功运行，样本本体自我删除。防火墙无提示。部分系统驱动被锁，趋势文件、进程正常。打开pchunter弹窗提示发现ZA，驱动模块中有一个可疑PE。



4.恢复趋势监控，10分钟内无反应。

5.重启，趋势监控依然无反应。打开pchunter依然提示发现ZA。

6.运行趋势快速扫描。发现RTKT。提示需要重启清除。此时pchunter依然能发现ZA。




7.再次重启，运行趋势快速扫描，未发现威胁。打开pchunter未提示有ZA，驱动模块显示正常！趋势日志里未见其他日志。


8.反复重启、快速扫描，依旧是7的结果。

注：测试了两次。趋势均成功清除，但报毒有不同，分别是：


@pal家族

，就一个.

时间比较急，下了个影子系统（虽然也不见得保证安全）用BD 试了下 AVC可以完美拦截ZA，这个样本危险系数太高了，AVC不拦截的话感觉有点假了，。 且目前IDS在64位系统还是在影子系统下IDS拦截了PCHunter，似乎AVC和IDS均不会受到影子系统的影响。

230f4

驭龙

230f4 发表于 2015-7-10 12:53

扫描基本上全杀的，测扫描没有什么玩头了，主要还是双击玩

fireold

avira
[mw_shl_code=css,true]2015/7/10 下午 12:53 [System Scanner] 發現惡意程式碼
      檔案 'C:\Users\vpn\Desktop\ZeroAccess\ZeroAccess.exe'
      包含病毒或有害的程式 'TR/Drop.Fjord.A' [trojan]
      已採取動作：
      檔案會移動至 '505dfdea.qua' 名稱底下的隔離區目錄!

2015/7/10 下午 12:53 [System Scanner] 掃描
      掃描結束 [已完成全部的掃描.]。
      檔案數：        966
      目錄數：        0
      惡意程式碼數：        1
      警告數：        0

2015/7/10 下午 12:52 [Real-Time Protection] 發現惡意程式碼
      在檔案 'C:\Users\vpn\Desktop\ZeroAccess\ZeroAccess.exe 中
      偵測到病毒或有害的程式 'TR/Drop.Fjord.A [trojan]'
      執行的動作：拒絕存取[/mw_shl_code]

230f4

驭龙 发表于 2015-7-10 12:55
扫描基本上全杀的，测扫描没有什么玩头了，主要还是双击玩

告诉我有什么行为，不危险的话我试试

温馨小屋

文件名: zeroaccess.exe
威胁名称: Trojan.FakeAV!gen39完整路径: c:\users\vmm\desktop\zeroaccess\zeroaccess.exe

____________________________

____________________________



____________________________


zeroaccess.exe 威胁名称: Trojan.FakeAV!gen39
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。

高
此文件具有高风险。


____________________________


来源: 外部介质


____________________________

文件操作

文件: c:\users\vmm\desktop\zeroaccess\ zeroaccess.exe 已阻止
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用

230f4

驭龙 发表于 2015-7-10 12:59
是最危险的一个高档Rootkits哟，不建议实机玩，因为是当初轰动一时的ZeroAccess

额，那算了，诺顿上

胖福

驭龙 发表于 2015-7-10 12:59
是最危险的一个高档Rootkits哟，不建议实机玩，因为是当初轰动一时的ZeroAccess

入库就不太好玩儿了！

驭龙

胖福 发表于 2015-7-10 13:02
入库就不太好玩儿了！

我在想，能不能文件排除，而不是SONAR排除，然后双击，会是什么后果，是入库的报法还是SONAR，或者干脆不杀了，哈哈