【虐杀MD第十发】【XP虚拟机专用】WIN32/64 ROOTKIT Necurs!!【接受死机的制裁吧！】

显示全部楼层 · 发表于 2017-2-9 09:52:30

tg123321 发表于 2017-2-8 21:46
@lifan88 已确认xp实机环境下未死机
2017-2-8 21:45:19 创建新进程允许
进程: c:\windows\ ...

看动作是磁碟机啊。我去。

显示全部楼层 · 发表于 2017-2-9 19:30:23

本帖最后由 liulangzhecgr 于 2017-2-9 20:09 编辑

win7 x32 基本用户

2017/2/9 18:59:46 创建新进程允许
进程: c:\windows\explorer.exe
目标: f:\downloads\花式死机\花式死机.exe
命令行: "F:\downloads\花式死机\花式死机.exe"
规则: [应用程序]c:\windows\explorer.exe

2017/2/9 19:02:45 创建文件夹允许
进程: f:\downloads\花式死机\花式死机.exe
目标: C:\Windows\Installer\{A68D35A2-2A08-1A35-91A6-D240715C44CE}
规则: [应用程序组]Virus TEST -> [文件]*

2017/2/9 19:02:50 创建文件允许
进程: f:\downloads\花式死机\花式死机.exe
目标: C:\Windows\Installer\{A68D35A2-2A08-1A35-91A6-D240715C44CE}\syshost.exe
规则: [应用程序组]Virus TEST -> [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe

基本用户写入系统文件夹，连个提示也没有？！

2017/2/9 19:02:57 修改文件允许
进程: f:\downloads\花式死机\花式死机.exe
目标: C:\Windows\Installer\{A68D35A2-2A08-1A35-91A6-D240715C44CE}\syshost.exe:Zone.Identifier
规则: [应用程序组]Virus TEST -> [文件]*

2017/2/9 19:03:07 创建新进程允许
进程: c:\windows\system32\services.exe
目标: c:\windows\installer\{a68d35a2-2a08-1a35-91a6-d240715c44ce}\syshost.exe
命令行: "C:\Windows\Installer\{A68D35A2-2A08-1A35-91A6-D240715C44CE}\syshost.exe" /service
规则: [应用程序]*

2017/2/9 19:04:00 修改注册表值允许
进程: f:\downloads\花式死机\花式死机.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\syshost32
值: C:\Windows\Installer\{A68D35A2-2A08-1A35-91A6-D240715C44CE}\syshost.exe
规则: [应用程序组]Virus TEST -> [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\*

2017/2/9 19:04:13 创建新进程允许
进程: f:\downloads\花式死机\花式死机.exe
目标: c:\windows\installer\{a68d35a2-2a08-1a35-91a6-d240715c44ce}\syshost.exe
命令行: C:\Windows\Installer\{A68D35A2-2A08-1A35-91A6-D240715C44CE}\syshost.exe
规则: [应用程序组]Virus TEST

2017/2/9 19:06:12 创建新进程允许
进程: c:\windows\installer\{a68d35a2-2a08-1a35-91a6-d240715c44ce}\syshost.exe
目标: c:\windows\system32\netsh.exe
命令行: "C:\Windows\system32\netsh.exe" advfirewall firewall add rule name="Core Networking - System IP Core" dir=out action=allow enable=yes profile=any
规则: [应用程序]*

2017/2/9 19:08:03 访问网络允许
进程: c:\windows\installer\{a68d35a2-2a08-1a35-91a6-d240715c44ce}\syshost.exe
目标: TCP [本机 : 49278] -> [127.0.0.1 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

补上一条：

2017/2/9 19:00:30 安装驱动程序或服务允许
进程: f:\downloads\花式死机\花式死机.exe
目标: "C:\Windows\Installer\{1A2C5956-8DCC-BACF-9A71-7ED67A244E1B}\syshost.exe" /service
规则: [应用程序组]Virus TEST

显示全部楼层 · 发表于 2017-2-9 20:29:05

wangfeng66 发表于 2017-2-9 09:52
看动作是磁碟机啊。我去。

根本不是好吧，磁碟机完全不是这个动作

还有，这货和磁碟机比，磁碟机还差太远

显示全部楼层 · 发表于 2017-2-9 20:29:14

[mw_shl_code=css,true]20:26:32(1)：(自动允许)程序启动：File_Analysis 行为记录成功开启

20:26:32(2)：(自动允许)获取文件属性：C:\Users\wang\AppData\Roaming

20:26:32(3)：(自动允许)读取文件：\\.\HR::DTrampo    访问权限：268435456

20:26:33(4)：(自动允许)获取文件属性：.O>*/QY)2~/r*.{lU=ty

20:26:33(5)：(自动允许)获取文件属性：0R#u*WX8$C,A1]b=rCi

20:26:33(6)：(自动允许)获取文件属性：7nA=p^FJR5U`U^64Gnj

20:26:33(7)：(自动允许)获取文件属性： MSM5DZT},9Tq(_t;PMl0F[$dc

20:26:33(8)：(自动允许)获取文件属性：G(;8GbMmOc^

20:26:33(9)：(自动允许)读取文件：C:\Users\wang\Desktop\File_safe\花式死机.ex    访问权限：-2147483648

20:26:33(10)：(安全环境)创建文件：C:\Users\wang\Desktop\File_safe\花式死机.ex.tmp    访问权限：1073741824

20:26:33(11)：(安全环境)删除文件：C:\Users\wang\Desktop\File_safe\花式死机.ex.tmp

20:26:33(12)：(自动允许)读取文件：\\.\PCI#VEN_25AF&DEV_0209&SUBSYS_070455AF&REV_00    访问权限：0

20:26:33(13)：(自动允许)读取文件：\\.\NtSecureSys    访问权限：0

20:26:33(14)：(自动允许)获取文件属性：C:\Users\wang\AppData\Local

20:26:33(15)：(安全环境)创建文件目录：C:\Windows\Installer\{06775B60-EF36-0504-1920-048FF8C0CABC}\

20:26:33(16)：(安全环境)复制文件：C:\Users\wang\Desktop\File_safe\花式死机.ex    复制至：C:\Windows\Installer\{06775B60-EF36-0504-1920-048FF8C0CABC}\syshost.exe

20:26:33(17)：(阻止)删除文件：C:\Windows\Installer\{06775B60-EF36-0504-1920-048FF8C0CABC}\syshost.exe:Zone.Identifier

20:26:33(18)：(阻止)加载驱动：syshost32    显示名称：    驱动文件路径："C:\Windows\Installer\{06775B60-EF36-0504-1920-048FF8C0CABC}\syshost.exe" /service

20:26:33(19)：(阻止)写注册表值：\syshost32

20:26:33(20)：(自动允许)创建进程：C:\Windows\Installer\{06775B60-EF36-0504-1920-048FF8C0CABC}\syshost.exe

20:26:33(21)：(自动允许)设置文件属性：C:\Users\wang\Desktop\File_safe\花式死机.ex

20:26:33(22)：(自动允许)移动文件：C:\Users\wang\Desktop\File_safe\花式死机.ex    移动至：C:\Users\wang\AppData\Local\Temp\ce8aac86.tmp

20:26:33(23)：(自动允许)移动文件：C:\Users\wang\AppData\Local\Temp\ce8aac86.tmp    移动至：

20:26:33(24)：(阻止)创建进程：cmd.exe /C del /Q /F "C:\Users\wang\AppData\Local\Temp\ce8aac86.tmp"

20:26:33(25)：(自动允许)程序退出：File_Analysis 行为记录到此为止[/mw_shl_code]

显示全部楼层 · 发表于 2017-2-9 20:29:54

liulangzhecgr 发表于 2017-2-9 19:30
win7 x32 基本用户

什么意思？

显示全部楼层 · 发表于 2017-2-9 20:53:02

本帖最后由 liulangzhecgr 于 2017-2-9 20:55 编辑

lifan88 发表于 2017-2-9 20:29
什么意思？

1.样本以基本用户权限运行，本来就没有权限文件写入到系统文件夹中，但样本做到。
2.好像基本用户没有权限创建|安装服务哦！但已经做到。呵呵system !

真不可思议...

显示全部楼层 · 发表于 2017-2-9 21:19:54

liulangzhecgr 发表于 2017-2-9 20:53
1.样本以基本用户权限运行，本来就没有权限文件写入到系统文件夹中，但样本做到。
2.好像基本用户没有 ...

自带PASS？？？不清楚，这货是一个不普通的ROOTKIT（这个不知道是不是ROOTKIT），而且也可以64位加载一个无签名驱动，没有64位实机，也不敢试试

显示全部楼层 · 发表于 2017-2-9 21:33:53

打算重装下
BD实机占坑，老办法，先感染

显示全部楼层 · 发表于 2017-2-9 21:34:24

本帖最后由 liulangzhecgr 于 2017-2-9 21:35 编辑

lifan88 发表于 2017-2-9 21:19
自带PASS？？？不清楚，这货是一个不普通的ROOTKIT（这个不知道是不是ROOTKIT），而且也可以64位加载一个 ...

以基本用户权限运行样本时，本以为样本自动退出之类，但超出我的想象，提权运行成功。貌似禁运才是王道哦！
因基本用户权限成功运行样本，故忘了管理员权限运行样本...

显示全部楼层 · 发表于 2017-2-9 21:40:42

liulangzhecgr 发表于 2017-2-9 21:34
以基本用户权限运行样本时，本以为样本自动退出之类，但超出我的想象，提权运行成功。貌似禁运才是王道 ...

这个在你机子上没有加载驱动的话估计不是ROOTKIT。。我等等找一些你看看哪个会加载驱动的

[病毒样本] 【虐杀MD第十发】【XP虚拟机专用】WIN32/64 ROOTKIT Necurs!!【接受死机的制裁吧！】

本帖子中包含更多资源

评分