sd被穿了+免杀eset

显示全部楼层 · 发表于 2013-7-7 22:36:29

本帖最后由 kxmp 于 2013-7-9 22:39 编辑

今天开机发现情况不对
runscanner扫描日志发现sfc_os被修改.
通过非资源管理器主窗口打开的显示是正常的名字,隐藏手法还真高明.
目前过所有杀毒软件......
https://www.virustotal.com/zh-cn ... nalysis/1373208447/
主程序可以防住
要是中招了.就扫不出来了
sfc_os.dll每次会向ProgramData里面生成downloader.exe
这样会出现每次开机都有一个文件被查杀
却每次都杀不干净

文件大小不一样这个其实都是一样的
病毒文件和实际正常文件其实相差非常小

runscanner.rar (133.35 KB, 下载次数: 246)

显示全部楼层 · 发表于 2013-7-8 00:24:10

不折腾电脑你会死啊...

显示全部楼层 · 发表于 2013-7-8 00:27:18

LLJ杰发表于 2013-7-8 00:24
不折腾电脑你会死啊...

干了鬼影6就是小意思

显示全部楼层 · 发表于 2013-7-8 00:53:06

据mj所说，只要是加驱的都可以穿SD~

显示全部楼层 · 发表于 2013-7-8 08:28:54

本帖最后由 darkwolf_99 于 2013-7-8 08:33 编辑

前几天发现了

deepfreeze　7.61　也没幸免，已经上报

SSF阻止这步就ok了

2013/7/5 10:43:07,C:\Users\xxx\AppData\Win7Elevate.exe,40,　Opening process or thread for modify access (taskhost.exe(pid=1476))

显示全部楼层 · 发表于 2013-7-8 08:42:05

没有一个杀软可以查出

显示全部楼层 · 发表于 2013-7-8 09:23:21

哪个版本的sd呢？

显示全部楼层 · 发表于 2013-7-8 13:08:09

本帖最后由 lixihong10 于 2015-10-21 13:26 编辑

我上次见到穿透的时候也有sfc_os，好像还有几个驱动，吧样本发给我拉

显示全部楼层 · 发表于 2013-7-8 13:55:49

还真厉害。。。

被穿记录。

显示全部楼层 · 发表于 2013-7-8 14:44:24

lixihong10 发表于 2013-7-8 13:08
我上次见到穿透的时候也有sfc_os，好像还有几个驱动，吧样本发给我拉
发到我邮箱去

http://bbs.kafan.cn/forum.php?mo ... ;page=1#pid29047264

[分享] sd被穿了+免杀eset

评分