查看: 9413|回复: 34
收起左侧

[病毒样本] 【老毒坑杀MD系列9】WIN7-32位穿MD的ROOTKIT Avatar(TDSSkiller清除失败)【仅限WIN7】

[复制链接]
lifan88
发表于 2017-1-24 00:12:51 | 显示全部楼层 |阅读模式
本帖最后由 lifan88 于 2017-1-24 13:18 编辑

难道我规则有问题???

XP无法穿透MD!!!

实机测试警告!!!经电脑发烧友各个机油的测试之后,发现该毒染毒后不好杀,而且导致多款ARK无法启动,几个ROOTKITKILLER杀毒要么漏,要么蓝屏,各位请注意!!!


虚拟机启动方法(测试前仔细看):

1,在XP下,病毒会检查虚拟机,所以运行后就没动作了,但可以手动启动病毒(在XP下有两个线程,一个是EXE本身,一个是DLL的,那个DLL的线程是挂起的,恢复线程即可)
2(重点),在WIN7下,病毒一样检查虚拟机,运行之后没动作但是不退出,此时病毒一共三个线程,一个EXE本身,两个ntdll.dll的,两个
dll线程为挂起状态,恢复其中的一个线程,看看MD动作,如果是修改EXPLORER.exe的话,暂停刚刚恢复的线程,并阻止,恢复另外的ntdll.dll的线程,看看会不会出现奇迹;如果一开始就恢复到那个目标线程,看看MD什么反应



PS:测试前请认真看看,还有2013年的毒,别指望不入库,或能在WIN8/10运行起来什么鬼的





最新的TDSSKILLER居然GG


穿透MD前有一个特别危险的动作,就是读ntkrnlpa.exe,我在虚拟机WIN7-32下就是允许了这一步多次之后直接击穿MD加载了驱动,而且驱动不是TEMP目录的,没看见那个驱动

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +4 收起 理由
电脑发烧友 + 1 感谢提供分享
liulangzhecgr + 3 版区有你更精彩: )

查看全部评分

电脑发烧友
发表于 2017-1-24 08:52:17 | 显示全部楼层
本帖最后由 电脑发烧友 于 2017-1-24 12:29 编辑

win7*32COMODO 8无压力秒杀,重启后一切正常。

裸虚拟机双击后重启ARK无法加驱,准备数字急救箱试试

实况更新

2017年1月24日 09:04:17

一扫


重启


二扫(复发)


三扫(未复发)【从第三次开始勾选了进程管制和全盘扫描】

四扫(未复发)【PCH仍无法正常加驱】

无扫(未复发)【PCH仍无法正常加驱】


数字急救箱最终结果

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
彩虹丶// + 1 卫队有你更性感。。

查看全部评分

电脑发烧友
发表于 2017-1-24 12:41:56 | 显示全部楼层
lifan88 发表于 2017-1-24 12:40
360急救箱和TDSSKILLER一模一样,少杀了个驱动,然后就。。。。。

最后是蜘蛛可以补杀这个驱动,但是没有360在前,蜘蛛也不行,详情请看
数字急救箱 卡巴 蜘蛛已跪—化石级牛逼Rootkit_病毒样本区_安全区 卡饭论坛 - 互助分享 - 大气谦和!
http://bbs.kafan.cn/thread-2074506-1-1.html
lifan88
 楼主| 发表于 2017-1-24 00:15:17 | 显示全部楼层
BE_HC
发表于 2017-1-24 08:46:16 | 显示全部楼层
本帖最后由 BE_HC 于 2017-1-24 08:50 编辑

[mw_shl_code=css,true]Application activity        创建进程        2017/1/24 上午 08:42:41        C:\Documents and Settings\Administrator\桌面\666-233.exe        C:\WINDOWS\system32\cmd.exe       
Application activity        加载驱动        2017/1/24 上午 08:42:35        C:\WINDOWS\system32\services.exe        C:\Documents and Settings\Administrator\Local Settings\Temp\wauuspi.sys       
Application activity        设置系统挂钩        2017/1/24 上午 08:42:10        C:\WINDOWS\explorer.exe        C:\WINDOWS\system32\shell32.dll       
Application activity        设置系统挂钩        2017/1/24 上午 08:42:09        C:\WINDOWS\explorer.exe        C:\WINDOWS\system32\shell32.dll       
Application activity        设置系统挂钩        2017/1/24 上午 08:42:09        C:\WINDOWS\explorer.exe        C:\WINDOWS\system32\shell32.dll       
Application activity        创建进程        2017/1/24 上午 08:41:26        C:\WINDOWS\explorer.exe        C:\Documents and Settings\Administrator\桌面\666-233.exe[/mw_shl_code]
xp32(SSM)附两驱动

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
liulangzhecgr
发表于 2017-1-24 11:15:56 | 显示全部楼层
本帖最后由 liulangzhecgr 于 2017-1-24 11:40 编辑

win7 x32 基本用户身份运行样本



2017/1/24 11:03:57    创建新进程    允许
进程: c:\windows\explorer.exe
目标: f:\downloads\rootkit_avatar\666-233.exe
命令行: "F:\downloads\ROOTKIT_Avatar\666-233.exe"
规则: [应用程序]c:\windows\explorer.exe

2017/1/24 11:04:04    读文件    允许
进程: f:\downloads\rootkit_avatar\666-233.exe
目标: C:\Windows\System32\drivers\afd.sys
规则: [应用程序组]Virus TEST -> [文件]?:\*; *.sys

2017/1/24 11:04:10    修改其他进程的内存    允许
进程: f:\downloads\rootkit_avatar\666-233.exe
目标: c:\windows\explorer.exe
规则: [应用程序组]Virus TEST

2017/1/24 11:04:14    在其他进程中创建线程    允许
进程: f:\downloads\rootkit_avatar\666-233.exe
目标: c:\windows\explorer.exe
规则: [应用程序组]Virus TEST


需要提权

2017/1/24 11:04:59    创建文件    允许
进程: c:\windows\system32\dllhost.exe
目标: C:\Windows\System32\migwiz\achttrph.exe
规则: [应用程序组]系统辅助程序 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2017/1/24 11:05:08    修改文件    允许
进程: c:\windows\system32\dllhost.exe
目标: C:\Windows\System32\migwiz\achttrph.exe
规则: [应用程序组]系统辅助程序 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2017/1/24 11:05:14    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\migwiz\achttrph.exe
命令行: "C:\Windows\System32\migwiz\achttrph.exe"
规则: [应用程序]c:\windows\explorer.exe

提示:没有权限修改系统默认值


-----------------------------------------------------------------------------

win7 x32 管理员身份运行

2017/1/24 11:20:44    创建新进程    允许
进程: c:\program files\microsoft visual foxpro 7\vfp7.exe
目标: f:\downloads\rootkit_avatar\666-233_1.exe
命令行: f:\downloads\rootkit_avatar\666-233_1.exe
规则: [应用程序]*

2017/1/24 11:20:52    读文件    允许
进程: f:\downloads\rootkit_avatar\666-233_1.exe
目标: C:\Windows\System32\drivers\afd.sys
规则: [应用程序组]Virus TEST -> [文件]?:\*; *.sys

2017/1/24 11:20:56    读文件    允许
进程: f:\downloads\rootkit_avatar\666-233_1.exe
目标: C:\Windows\System32\drivers\adpahci.sys
规则: [应用程序组]Virus TEST -> [文件]?:\*; *.sys

2017/1/24 11:21:24    读文件    允许
进程: f:\downloads\rootkit_avatar\666-233_1.exe
目标: C:\Windows\System32\drivers\adpu320.sys
规则: [应用程序组]Virus TEST -> [文件]?:\*; *.sys

2017/1/24 11:21:29    读文件    允许
进程: f:\downloads\rootkit_avatar\666-233_1.exe
目标: C:\Windows\System32\drivers\agilevpn.sys
规则: [应用程序组]Virus TEST -> [文件]?:\*; *.sys

2017/1/24 11:21:33    读文件    允许
进程: f:\downloads\rootkit_avatar\666-233_1.exe
目标: C:\Windows\System32\drivers\AGP440.sys
规则: [应用程序组]Virus TEST -> [文件]?:\*; *.sys

2017/1/24 11:22:20    创建文件    允许
进程: f:\downloads\rootkit_avatar\666-233_1.exe
目标: C:\Users\baba\AppData\Local\Temp\fuzi.sys
规则: [应用程序组]Virus TEST -> [文件]?:\*; *.sys

2017/1/24 11:22:29    安装驱动程序或服务    允许
进程: f:\downloads\rootkit_avatar\666-233_1.exe
目标: C:\Users\baba\AppData\Local\Temp\fuzi.sys
规则: [应用程序组]Virus TEST

2017/1/24 11:22:42    加载驱动程序    允许
进程: c:\windows\system32\services.exe
目标: c:\users\baba\appdata\local\temp\fuzi.sys
规则: [应用程序]c:\windows\system32\services.exe







本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
lifan88
 楼主| 发表于 2017-1-24 12:39:54 | 显示全部楼层
本帖最后由 lifan88 于 2017-1-24 12:48 编辑
BE_HC 发表于 2017-1-24 08:46
[mw_shl_code=css,true]Application activity        创建进程        2017/1/24 上午 08:42:41        C:\Documents and Setting ...


XP下实机才有动作,虚拟机XP有动作但是重启自杀
lifan88
 楼主| 发表于 2017-1-24 12:40:56 | 显示全部楼层
电脑发烧友 发表于 2017-1-24 08:52
win7*32COMODO 8无压力秒杀,重启后一切正常。

裸虚拟机双击后重启ARK无法加驱,准备数字急救箱试试

360急救箱和TDSSKILLER一模一样,少杀了个驱动,然后就。。。。。
lifan88
 楼主| 发表于 2017-1-24 12:42:01 | 显示全部楼层
liulangzhecgr 发表于 2017-1-24 11:15
win7 x32 基本用户身份运行样本

用360急救箱加大蜘蛛可以击杀之
lifan88
 楼主| 发表于 2017-1-24 12:45:37 | 显示全部楼层
liulangzhecgr 发表于 2017-1-24 11:15
win7 x32 基本用户身份运行样本

WIN7-32位虚拟机的情况:

我的动作很简单。。。由于是虚拟机,只能手动启动。。
注入EXPLORER的线程是暂停的,另外一个线程一上来就:
读ntkrnlpa.exe,然后几次允许就击穿MD了。。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 14:08 , Processed in 0.122820 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表