高级rootkit---最好染毒后测试一下你的杀毒软件能不能处理

vm001

在360论坛看见一篇帖子【N多手法解决不了的2345主页 新型劫持 。附带病毒样本。恳请帮忙看看! 】
http://bbs.360.cn/thread-14549275-1-1.html

依照楼主说的进入吾爱找到了样本
http://www.52pojie.cn/thread-532029-1-1.html

样本链接
链接: http://pan.baidu.com/s/1gf19wfL 密码: fbhp

以防样本和谐，我备份了一下
http://share.weiyun.com/4a515682117a7bb5dde2b536b337ea5c

运行样本的绿化，会执行这个exe（360已经可以查杀）


释放驱动


加载服务


当然这些行为我们人为的全部放过去。。。

染毒后重启计算机，样本主要是劫持浏览器起始页
染毒后，我们可以看见，这货劫持了系统驱动（其实我也不知道这里怎么叙述）



而真正的恶意驱动伪装了。。这里我们看到的确实是系统驱动






就算是拷贝出来，一样会被病毒替换为正常的系统驱动（也可以说拷贝出来的本来就是系统驱动。。这一切都是病毒在搞鬼）
以前鬼影5用了此种方法，我是不会手杀这个

然后用360卫士扫描系统，可以识别



扫描完不重启，把恶意驱动恢复一下，看下



还看到的是系统驱动（由于这货劫持或者说挂了ntfs驱动，我们就不会看见真实的文件）

最后用360处理一下，来看看恶意驱动的真实面目


重启计算机


系统恢复正常


然后再隔离区把恶意驱动恢复一下看



恶意驱动样本

ELOHIM

Trojan: Win32/Spursint.A!cl

类别: 特洛伊木马

描述: 这个程序很危险，而且执行来自攻击者的命令。

推荐的操作: 立即删除这个软件。

项目:
containerfile:C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{BD0CB1EB-72A3-4C38-8FA4-6F3E05F956B0}-Mslmedia.rar
containerfile:C:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\F8B2525C-E919-3D98-093C-5AF4640BD05D_1d21a525a6edd48
containerfile:C:\Users\Kafan\Downloads\Mslmedia.rar
file:C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{BD0CB1EB-72A3-4C38-8FA4-6F3E05F956B0}-Mslmedia.rar->Mslmedia.sys
file:C:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\F8B2525C-E919-3D98-093C-5AF4640BD05D_1d21a525a6edd48->(MPLC)->Mslmedia.sys
file:C:\Users\Kafan\Downloads\Mslmedia.rar->Mslmedia.sys
webfile:C:\ProgramData\Microsoft\Windows Defender\LocalCopy\{BD0CB1EB-72A3-4C38-8FA4-6F3E05F956B0}-Mslmedia.rar|iexplore.exe
webfile:C:\ProgramData\Microsoft\Windows Defender\Scans\FilesStash\F8B2525C-E919-3D98-093C-5AF4640BD05D_1d21a525a6edd48|https://att.kafan.cn/forum.php?mo ... DY2NTU5OXwyMDU4NTkw|iexplore.exe
webfile:C:\Users\Kafan\Downloads\Mslmedia.rar|https://att.kafan.cn/forum.php?mo ... DY2NTU5OXwyMDU4NTkw|iexplore.exe

windows7爱好者

SEP占楼，来晚了
已经入库，稍等，我来试试SONAR


关闭监控后被sonar杀了
不过这种报法应该是特征联动报法，没意思，我试试染毒后

关闭SEP所有防护，OK，成功染毒

然后打开防护，重新启动
SEP被过

现在试试全盘扫描，不过应该没什么结果的，因为驱动本身不报毒
主页被改了 ，无法访问是我这里的坑爹移动DNS原因，请忽略

我现在试试各家的反ROOKIT工具，然后不行的话，手杀试一下
卡巴的反ROOKIT工具，谁能提供下地址

QQ1014530747

windows7爱好者 发表于 2016-9-28 21:11
SEP占楼，来晚了

你运行下试试sep拦截吗

fireherman

ESET kill (mysql.exe)



[mw_shl_code=css,true]E:\VirZ\QQ旋风破解版.rar > RAR > QQ旋风破解版\Browser\mysql.exe - Win32/HackTool.Agent.NCQ 特洛伊木马 的变种 - 扫描完成后再选择处理方式
E:\VirZ\QQ旋风破解版.rar > RAR > QQ旋风破解版\Browser\mysql.exe - Win32/HackTool.Agent.NCQ 特洛伊木马 的变种 - 已删除[/mw_shl_code]

vm001

fireherman 发表于 2016-9-28 21:12
ESET kill (mysql.exe)

染毒后看看eset还能不能杀

尘梦幽然

看来诺顿是可以防但是不能清除啊。

fireherman

@vm001




不行啊，文件恢复不了（【恢复但不扫描】为灰色，然后只要触及这个文件，ESET就删、删、删）






删就删吧，强制运行【绿化】，又被删。




不管一切，继续执行……“正常”使用了。






删除那个文件，并没有影响使用；

vm001

windows7爱好者 发表于 2016-9-28 21:11
SEP占楼，来晚了
已经入库，稍等，我来试试SONAR

染毒后试一试

vm001

尘梦幽然 发表于 2016-9-28 21:14
看来诺顿是可以防但是不能清除啊。

这个我不会手杀，你会不会，当年就这个方式我败给了鬼影5