【老毒坑杀MD系列9】WIN7-32位穿MD的ROOTKIT Avatar(TDSSkiller清除失败)【仅限WIN7】

lifan88

难道我规则有问题？？？

XP无法穿透MD！！！

实机测试警告！！！经电脑发烧友各个机油的测试之后，发现该毒染毒后不好杀，而且导致多款ARK无法启动，几个ROOTKITKILLER杀毒要么漏，要么蓝屏，各位请注意！！！


虚拟机启动方法（测试前仔细看）：

1，在XP下，病毒会检查虚拟机，所以运行后就没动作了，但可以手动启动病毒（在XP下有两个线程，一个是EXE本身，一个是DLL的，那个DLL的线程是挂起的，恢复线程即可）
2（重点），在WIN7下，病毒一样检查虚拟机，运行之后没动作但是不退出，此时病毒一共三个线程，一个EXE本身，两个ntdll.dll的，两个
dll线程为挂起状态，恢复其中的一个线程，看看MD动作，如果是修改EXPLORER.exe的话，暂停刚刚恢复的线程，并阻止，恢复另外的ntdll.dll的线程，看看会不会出现奇迹；如果一开始就恢复到那个目标线程，看看MD什么反应


PS：测试前请认真看看，还有2013年的毒，别指望不入库，或能在WIN8/10运行起来什么鬼的





最新的TDSSKILLER居然GG


穿透MD前有一个特别危险的动作，就是读ntkrnlpa.exe,我在虚拟机WIN7-32下就是允许了这一步多次之后直接击穿MD加载了驱动，而且驱动不是TEMP目录的，没看见那个驱动

电脑发烧友

win7*32COMODO 8无压力秒杀，重启后一切正常。

裸虚拟机双击后重启ARK无法加驱，准备数字急救箱试试

实况更新

2017年1月24日 09:04:17

一扫


重启


二扫（复发）


三扫（未复发）【从第三次开始勾选了进程管制和全盘扫描】

四扫（未复发）【PCH仍无法正常加驱】

无扫（未复发）【PCH仍无法正常加驱】


数字急救箱最终结果

电脑发烧友

lifan88 发表于 2017-1-24 12:40
360急救箱和TDSSKILLER一模一样，少杀了个驱动，然后就。。。。。

最后是蜘蛛可以补杀这个驱动，但是没有360在前，蜘蛛也不行，详情请看
数字急救箱 卡巴 蜘蛛已跪—化石级牛逼Rootkit_病毒样本区_安全区 卡饭论坛 - 互助分享 - 大气谦和!
http://bbs.kafan.cn/thread-2074506-1-1.html

lifan88

@左手 @tg123321 @电脑发烧友

BE_HC

[mw_shl_code=css,true]Application activity        创建进程        2017/1/24 上午 08:42:41        C:\Documents and Settings\Administrator\桌面\666-233.exe        C:\WINDOWS\system32\cmd.exe       
Application activity        加载驱动        2017/1/24 上午 08:42:35        C:\WINDOWS\system32\services.exe        C:\Documents and Settings\Administrator\Local Settings\Temp\wauuspi.sys       
Application activity        设置系统挂钩        2017/1/24 上午 08:42:10        C:\WINDOWS\explorer.exe        C:\WINDOWS\system32\shell32.dll       
Application activity        设置系统挂钩        2017/1/24 上午 08:42:09        C:\WINDOWS\explorer.exe        C:\WINDOWS\system32\shell32.dll       
Application activity        设置系统挂钩        2017/1/24 上午 08:42:09        C:\WINDOWS\explorer.exe        C:\WINDOWS\system32\shell32.dll       
Application activity        创建进程        2017/1/24 上午 08:41:26        C:\WINDOWS\explorer.exe        C:\Documents and Settings\Administrator\桌面\666-233.exe[/mw_shl_code]
xp32（SSM）附两驱动

liulangzhecgr

win7 x32 基本用户身份运行样本

2017/1/24 11:03:57    创建新进程    允许
进程: c:\windows\explorer.exe
目标: f:\downloads\rootkit_avatar\666-233.exe
命令行: "F:\downloads\ROOTKIT_Avatar\666-233.exe"
规则: [应用程序]c:\windows\explorer.exe

2017/1/24 11:04:04    读文件    允许
进程: f:\downloads\rootkit_avatar\666-233.exe
目标: C:\Windows\System32\drivers\afd.sys
规则: [应用程序组]Virus TEST -> [文件]?:\*; *.sys

2017/1/24 11:04:10    修改其他进程的内存    允许
进程: f:\downloads\rootkit_avatar\666-233.exe
目标: c:\windows\explorer.exe
规则: [应用程序组]Virus TEST

2017/1/24 11:04:14    在其他进程中创建线程    允许
进程: f:\downloads\rootkit_avatar\666-233.exe
目标: c:\windows\explorer.exe
规则: [应用程序组]Virus TEST

需要提权

2017/1/24 11:04:59    创建文件    允许
进程: c:\windows\system32\dllhost.exe
目标: C:\Windows\System32\migwiz\achttrph.exe
规则: [应用程序组]系统辅助程序 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2017/1/24 11:05:08    修改文件    允许
进程: c:\windows\system32\dllhost.exe
目标: C:\Windows\System32\migwiz\achttrph.exe
规则: [应用程序组]系统辅助程序 -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

2017/1/24 11:05:14    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\windows\system32\migwiz\achttrph.exe
命令行: "C:\Windows\System32\migwiz\achttrph.exe"
规则: [应用程序]c:\windows\explorer.exe

提示：没有权限修改系统默认值

-----------------------------------------------------------------------------

win7 x32 管理员身份运行

2017/1/24 11:20:44    创建新进程    允许
进程: c:\program files\microsoft visual foxpro 7\vfp7.exe
目标: f:\downloads\rootkit_avatar\666-233_1.exe
命令行: f:\downloads\rootkit_avatar\666-233_1.exe
规则: [应用程序]*

2017/1/24 11:20:52    读文件    允许
进程: f:\downloads\rootkit_avatar\666-233_1.exe
目标: C:\Windows\System32\drivers\afd.sys
规则: [应用程序组]Virus TEST -> [文件]?:\*; *.sys

2017/1/24 11:20:56    读文件    允许
进程: f:\downloads\rootkit_avatar\666-233_1.exe
目标: C:\Windows\System32\drivers\adpahci.sys
规则: [应用程序组]Virus TEST -> [文件]?:\*; *.sys

2017/1/24 11:21:24    读文件    允许
进程: f:\downloads\rootkit_avatar\666-233_1.exe
目标: C:\Windows\System32\drivers\adpu320.sys
规则: [应用程序组]Virus TEST -> [文件]?:\*; *.sys

2017/1/24 11:21:29    读文件    允许
进程: f:\downloads\rootkit_avatar\666-233_1.exe
目标: C:\Windows\System32\drivers\agilevpn.sys
规则: [应用程序组]Virus TEST -> [文件]?:\*; *.sys

2017/1/24 11:21:33    读文件    允许
进程: f:\downloads\rootkit_avatar\666-233_1.exe
目标: C:\Windows\System32\drivers\AGP440.sys
规则: [应用程序组]Virus TEST -> [文件]?:\*; *.sys

2017/1/24 11:22:20    创建文件    允许
进程: f:\downloads\rootkit_avatar\666-233_1.exe
目标: C:\Users\baba\AppData\Local\Temp\fuzi.sys
规则: [应用程序组]Virus TEST -> [文件]?:\*; *.sys

2017/1/24 11:22:29    安装驱动程序或服务    允许
进程: f:\downloads\rootkit_avatar\666-233_1.exe
目标: C:\Users\baba\AppData\Local\Temp\fuzi.sys
规则: [应用程序组]Virus TEST

2017/1/24 11:22:42    加载驱动程序    允许
进程: c:\windows\system32\services.exe
目标: c:\users\baba\appdata\local\temp\fuzi.sys
规则: [应用程序]c:\windows\system32\services.exe

lifan88

BE_HC 发表于 2017-1-24 08:46
[mw_shl_code=css,true]Application activity        创建进程        2017/1/24 上午 08:42:41        C:\Documents and Setting ...

XP下实机才有动作，虚拟机XP有动作但是重启自杀

lifan88

电脑发烧友 发表于 2017-1-24 08:52
win7*32COMODO 8无压力秒杀，重启后一切正常。

裸虚拟机双击后重启ARK无法加驱，准备数字急救箱试试

360急救箱和TDSSKILLER一模一样，少杀了个驱动，然后就。。。。。

lifan88

liulangzhecgr 发表于 2017-1-24 11:15
win7 x32 基本用户身份运行样本

用360急救箱加大蜘蛛可以击杀之

lifan88

liulangzhecgr 发表于 2017-1-24 11:15
win7 x32 基本用户身份运行样本

WIN7-32位虚拟机的情况：

我的动作很简单。。。由于是虚拟机，只能手动启动。。
注入EXPLORER的线程是暂停的，另外一个线程一上来就：
读ntkrnlpa.exe，然后几次允许就击穿MD了。。。