ZeroAccess 样本x1

神迹般存在

说明：请仔细检查自己的杀软是否已经检测过此病毒，否则以防被喷。欢迎使用虚拟机（勿实机，沙箱会穿透）双击测试，虚拟机测试的人可置顶并发HB。
KIS killed
[mw_shl_code=css,true]06.08.2015 18.53.14;检测到的对象（文件）已删除。;C:\Users\***\Downloads\virus.exe;C:\Users\***\Downloads\virus.exe;HEUR:Trojan.Win32.Generic;木马程序;08/06/2015 18:53:14
[/mw_shl_code]
KSN：

分析
————————————————————————
概述：ZeroAccess，锁驱动
[mw_shl_code=css,true]基本信息
文件名称：       
virus.exe
MD5：        31044131a1bc946460bf17747007d39a
文件类型：        EXE
上传时间：        2015-08-06 20:13:25
出品公司：        N/A
版本：        N/A
壳或编译器信息：        N/A
关键行为
行为描述：        跨进程写入数据
详情信息：       
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\winlogon.exe
行为描述：        常规加载驱动
详情信息：       
\*
行为描述：        修改硬盘引导扇区
详情信息：       
N/A
行为描述：        创建远程线程
详情信息：       
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\winlogon.exe
行为描述：        设置线程上下文
详情信息：       
C:\WINDOWS\system32\smss.exe
行为描述：        自删除
详情信息：       
C:\%temp%\1438863262.266760.exe
行为描述：        通过内存映射跨进程修改内存
详情信息：       
TargetProcess = winlogon.exe
进程行为
行为描述：        跨进程写入数据
详情信息：       
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\winlogon.exe
行为描述：        创建远程线程
详情信息：       
C:\WINDOWS\system32\smss.exe
C:\WINDOWS\system32\winlogon.exe
行为描述：        设置线程上下文
详情信息：       
C:\WINDOWS\system32\smss.exe
行为描述：        枚举进程
详情信息：       
N/A
行为描述：        通过内存映射跨进程修改内存
详情信息：       
TargetProcess = winlogon.exe
文件行为
行为描述：        创建可执行文件
详情信息：       
\GLOBAL??\ACPI#PNP0303#2&da1a3ff&0\L\ydxiiwrm
行为描述：        修改文件内容
详情信息：       
\GLOBAL??\ACPI#PNP0303#2&da1a3ff&0\{1B372133-BFFA-4dba-9CCF-5474BED6A9F6}---> Offset = 0
行为描述：        自删除
详情信息：       
C:\%temp%\1438863262.266760.exe
注册表行为
行为描述：        修改注册表
详情信息：       
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\.rdpdr\Type
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\.rdpdr\Start
\REGISTRY\MACHINE\SYSTEM\ControlSet002\Services\.rdpdr\ImagePath
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList\S-1-5-21-1482476501-1645522239-1417001333-500\RefCount
其他行为
行为描述：        创建驱动文件镜像
详情信息：       
C:\WINDOWS\system32\drivers\rdpdr.sys
行为描述：        常规加载驱动
详情信息：       
\*
行为描述：        修改硬盘引导扇区
详情信息：       
N/A
行为描述：        获取系统权限
详情信息：       
SE_DEBUG_PRIVILEGE
SE_TAKE_OWNERSHIP_PRIVILEGE
SE_RESTORE_PRIVILEGE
SE_LOAD_DRIVER_PRIVILEGE
SE_SECURITY_PRIVILEGE
行为描述：        获取TickCount值
详情信息：       
TickCount = 456234, SleepMilliseconds = 30000.
行为描述：        调用Sleep函数
详情信息：       
[1]: MilliSeconds = 30000.
异常崩溃
异常崩溃：        程序异常崩溃信息
详情信息：       
EAX=0x00000000, EBX=0x7FFDB000, ECX=0x5E52DE02, EDX=0x0022FE5C,ESI=0x536CD652, EDI=0x0022FD6C, EBP=0x0022FFC0, ESP=0x0022FD2C,EIP=0x00408BE0, ExceptionCode=0xC0000005(ACCESS_VIOLATION),ExceptionModule=c:\%temp%\1438863262.182489.exe
Disassembly:
0x00408BE0: lfs eax, dword ptr fs:[eax-01h]
0x00408BE5: xchg edi, edi
0x00408BE7: jmp 00409AAEh
0x00408BEC: scasd
0x00408BED: pop dword ptr [ebx+esi-59C30000h]
0x00408BF4: fistp qword ptr [esi+00h]
0x00408BF7: add dh, dl
0x00408BFA: stosb
0x00408BFB: fmul st(0), st(3)
0x00408BFD: mov dl, 9Bh
0x00408BFF: clc
0x00408C00: xor eax, 000600FFh
0x00408C05: add byte ptr [esi+00h], ch
0x00408C08: pop ebp
0x00408C09: cmp byte ptr [eax], al
0x00408C0B: pop ebp
0x00408C0C: stosb [/mw_shl_code]
运行截图


Password:infected

神迹般存在

此病毒已被证实为ZeroAccess
具体评测见http://bbs.kafan.cn/thread-1838906-1-1.html
请勿实机双击，否则后果自负！

电脑发烧友

火绒虚拟机双击测试：
测试环境：VM11 win7*32火绒配置：


意在测试最大防御强度，监控报读，所以关掉。

开始双击：
第一个弹窗按照推荐操作放行。

自动阻止的行为。

一共就这两个了。

测试结果：
我想静静
PS:双击后无法关机。

第二次测试：附带规则。
测试环境：VM11 win7*32
火绒配置：和第一次差不多，唯一不一样的就是开启了自定义规则。开始双击：

操作程序：C:\Program Files\VMware\VMware Tools\vmtoolsd.exe
触犯规则：运行过滤----第六道滤网《敏感指令过滤》
用户操作：已阻止
操作类型：读取
操作文件：C:\Windows\System32\net.exe

操作程序：C:\Users\wuliao\Desktop\virus.exe
触犯规则：文件过滤----第一道滤网《核心目录禁改》
用户操作：已阻止
操作类型：写入
操作文件：C:\Windows\System32\drivers\cdrom.sys

操作程序：C:\Users\wuliao\Desktop\virus.exe
行为说明：连接远程端口
访问地址：远程 94.75.199.163:8083[荷兰]

随便取了几个，剩下的懒得发上来了。

此时重启，重启后运行PCHUNTER，报告发现ZA，火绒快速扫描安全。

此时用360急救箱扫描



扫描完成，截图如下。
第一个无视，安装火绒之后独立版就无效了，第二第三个无视，根据经验每次扫描都会扫出这两个，不信的可以取试试。
第四个不要无视，第五个。。。。。。回收站。
重启后再次运行PCHUNTER，没有报ZA。


测试结果：
依旧无法完美防御，但是经过杀毒后是可以恢复正常的。

PS：时间原因，不再对第一次测试进行扫描

tg123321

神迹般存在 发表于 2015-8-6 21:31
ZeroAccess其实在开启安软并双击的情况下是基本没有问题的（楼上的安软都能拦截，绝大多数国内国外安软） ...

本人决定在虚拟机占位测试国内顶尖技术团队开发的新星——反黑安全卫士2015
扫描：认为木有威胁

双击：然而木有报警


打开日志查看，确认是病毒删除自身，没有开pc hunter的必要了


楼上用火绒的朋友心态太差了，你看这顶尖技术团队开发的东西都无能为力，反黑，玩的是心态

aboringman

AVG 虚拟机测试

简单说下结果：

关闭监控，保留IDP，运行后不久IDP报（需重启清除）
[mw_shl_code=css,true]Identity Protection 侦测
"威胁名称";"状态";"检测时间";"对象类型";"进程"
"Unknown, C:\Documents and Settings\Administrator\桌面\virus.exe";"已保护";"2015-8-7, 19:10:10";"文件或目录";""
[/mw_shl_code]

重启后，打开PC hunters，提示有ZA

运行AVG的防rootkit扫描，发现12个威胁（需重启）
[mw_shl_code=css,true]"防 Rootkit 扫描"
"中等严重性";"12";"12";"0"
"已启动：";"2015-8-7, 19:13:52"
"已完成：";"2015-8-7, 19:15:34"
"项目数：";"9769"
"启动者：";"Administrator"

"名称";"说明";"状态";"状态";"优先级"
"C:\Documents and Settings\Administrator\桌面\PCHunter_free\PCHunter32.sys";"Service function NtUserSetWindowLong hook -> PCHunter32.sys +0x73740";"已保护";"已修复";"中等"
"C:\Documents and Settings\Administrator\桌面\PCHunter_free\PCHunter32.sys";"Service function NtUserGetForegroundWindow hook -> PCHunter32.sys +0x733B0";"已保护";"已修复";"中等"
"C:\Documents and Settings\Administrator\桌面\PCHunter_free\PCHunter32.sys";"Service function NtUserShowWindow hook -> PCHunter32.sys +0x73780";"已保护";"已修复";"中等"
"C:\Documents and Settings\Administrator\桌面\PCHunter_free\PCHunter32.sys";"Service function NtUserPostThreadMessage hook -> PCHunter32.sys +0x73550";"已保护";"已修复";"中等"
"C:\Documents and Settings\Administrator\桌面\PCHunter_free\PCHunter32.sys";"Service function NtUserFindWindowEx hook -> PCHunter32.sys +0x73310";"已保护";"已修复";"中等"
"C:\Documents and Settings\Administrator\桌面\PCHunter_free\PCHunter32.sys";"Service function NtUserMessageCall hook -> PCHunter32.sys +0x73820";"已保护";"已修复";"中等"
"C:\Documents and Settings\Administrator\桌面\PCHunter_free\PCHunter32.sys";"Service function NtUserWindowFromPoint hook -> PCHunter32.sys +0x736B0";"已保护";"已修复";"中等"
"C:\Documents and Settings\Administrator\桌面\PCHunter_free\PCHunter32.sys";"线内钩子 win32k.sys EngAcquireSemaphore+0x2640 -> PCHunter32.sys +0x73450";"已保护";"已修复";"中等"
"C:\Documents and Settings\Administrator\桌面\PCHunter_free\PCHunter32.sys";"Service function NtUserBuildHwndList hook -> PCHunter32.sys +0x73070";"已保护";"已修复";"中等"
"C:\Documents and Settings\Administrator\桌面\PCHunter_free\PCHunter32.sys";"Service function NtUserDestroyWindow hook -> PCHunter32.sys +0x737C0";"已保护";"已修复";"中等"
"C:\Documents and Settings\Administrator\桌面\PCHunter_free\PCHunter32.sys";"Service function NtUserQueryWindow hook -> PCHunter32.sys +0x73590";"已保护";"已修复";"中等"
"C:\Documents and Settings\Administrator\桌面\PCHunter_free\PCHunter32.sys";"Service function NtUserSetParent hook -> PCHunter32.sys +0x73620";"已保护";"已修复";"中等"
[/mw_shl_code]

重启后，打开PC hunters仍提示有ZA，点击驱动模块项目后卡住后不久，AVG监控报了，但无济于事（干不掉本体驱动）
[mw_shl_code=css,true]Resident Shield 检测结果
"威胁名称";"状态";"检测时间";"对象类型";"进程"
"发现病毒 Rootkit-Agent, c:\WINDOWS\system32\drivers\afd.sys";"未解决";"2015-8-7, 19:35:34";"文件或目录";""
[/mw_shl_code]

livethings

新人报道！学了火绒那位我也试试玩双击~第一次测试啊，我就模仿了别人怎么测的。。。
测试环境  win7 x86   小红伞15.0.8.656

高检测级别


首先直接报毒



双击之后：

扫描到一个驱动，同时系统驱动被锁

但是PCHunter没有报告发现ZA，倒是有一个可疑驱动对象（求教这算是防住了吗？？）


小红伞快速扫描正常


重启后小红伞扫描依旧正常，PCHunter里的那个可疑驱动也不见了。


用急救箱看看：

一切正常啊……（那为啥驱动还是锁着的0.0）
N次重启后也还是这样

第一次测试，请多指教！！！


另：全盘扫描扫出来两个

zhanghongyuan1

测试结果出乎意料啊

解压后“等等等”实时防护删除（情理之中）


关闭防护，运行样本，pc ht检测到za



运行系统扫描，avast发现感染的文件，but清除失败



依照avast建议，进行开机扫描


失败


重启后使用pc ht，并没有检测到za，不过运行扫描三个文件依然都在而且无法删除



值得注意的是avast在重启过后出现错误，防护无法打开，点击全部解决无反映


此外虚拟机网卡驱动貌似被删了，不知道是谁导致的结果。



不知道我这测试步骤是否有误，按道理来说虽然检测不到za但是自身出错，avast应该还是防御失败了吧。
@驭龙

断簪

微点
Trojan-Spy.Win32.Double.a

steven_lzs

EAV kill

我如浮云般飘过

bav killed

欧阳宣

bitdefender

wmn56

电脑管家将压缩包解出来后可以杀

神迹般存在

wmn56 发表于 2015-8-6 20:04
电脑管家将压缩包解出来后可以杀

都是解压出来的，因为压缩包是有密码加密的

开开心心卖手机

avast kill

skyboybone

金山

230f4

这标题是在气我吗64位系统