查看: 41036|回复: 421
收起左侧

[其他相关] 精睿包中发现一枚ZeroAccess【MA ESET 黑寡妇 迈克菲 卡巴,双击大战ZeroAccess变种】

  [复制链接]
驭龙
发表于 2015-7-10 12:38:31 | 显示全部楼层 |阅读模式
本帖最后由 驭龙 于 2015-7-13 16:05 编辑

我早就发现Sirefef在今年上半年死灰复燃,出现新变种了,今天在精睿包发现一枚,我就提取出来,让双击党来玩玩,我很好奇现在的Norton能防御吗?不过这个样本是被Norton入库的,只能双击玩了。

微软基准线报Sirefef.BB变种。
http://www.microsoft.com/securit ... aWin32%2fSirefef.BB


请小心,是ZeroAccess病毒,不要实机下载和双击,否则后果自负。
很多人不听劝阻在实机玩ZA,为了避免再有人实机玩ZA,样本已经删除。

@胖福    福哥来玩玩这个ZA吧。

注意:以下双击结果仅供参考,毕竟一个样本不能代表什么,仅仅是一个参考而已,不代表五款软件的真实水平。
=====================================================
基准线关闭文件监控,双击样本,被进程监控方式杀,轻松拿下,我没发现有残余驱动。


更新一下我重新测试的结果,很多系统的驱动依然被锁,应该是拦截失败了,不过我重新启动Windows以后,运行PC Hunter没有提示ZA,但是系统驱动还是被锁,并没有完全成功拦截。

===========================================================
关闭基准线全部监控,运行ZA以后,重启动win,基准线的用户进程没有启动。
PC Hunter报告有ZA。


基准线启动项被篡改,但内核正常。


MA监控无反应,正在快速扫描中,扫描完成,无法发现隐藏的ZA

============================================================
DrWeb 11 Beta版,关闭Spider Guard以后,首次双击ZA,强大的预防性保护中DPH杀,彻彻底底的杀。


系统驱动没有被锁,一切正常。


本想再双击ZA,结果释放出的新样本依然被黑寡妇锁定,只能重启动。


重启动Windows 以后,关闭Spider Guard和预防性保护,运行ZA,ZA联网被DrWeb防火墙发现。


系统驱动被ZA锁定。


恢复DrWeb的预防性保护,杀一个驱动文件。


再次重新启动Windows以后,虽然驱动依然被锁定,但是PC Hunter并没有发现ZeroAccess在系统中,ZA应该是被黑寡妇杀了。


值得注意的是,我本想再次运行ZA,但是DrWeb的DPH死活不在杀ZA了,很奇怪的情况。
============================================================
应邀测试一下ESET的9.0 Beta对抗ZeroAccess的情况。
关闭文件监控以后,双击ZA,HIPS中的高级内存扫描杀ZA,也就是Sirefef。


系统驱动没有被锁,PC Hunter没有发现ZA,应该是防御成功。


ESET的主防需要重新启动才能关闭,我关闭主防重启Windows,之后已经成功关闭主防和文件监控,双击ZA,运行成功自我删除,系统驱动被锁,哦,ESET的驱动也被锁了?


为开启主防,再次重新启动Windows,监控全部恢复,却没有报毒,扫描引导区和内存,没有发现隐蔽的ZA,无法清除。


PC Hunter依然能发现ZA的存在,ESET无法检测到,跟基准线的表现差不多,只是ESET的内存监控可以成功防御。

==========================================================
断网以后,McAfee的最新版个人版本地库杀,由于监控是一体化,无法测双击。


关闭文件监控以后,让ZA运行,WD这货跑出来干啥,跳过,让系统驱动被锁吧。


重启动以后ZA成功运行。


McAfee快速扫描发现ZA本体。


这次被篡改的系统文件,也就是ZA本体是tunnel。


吃晚饭以后重启动Windows,PC Hunter没有发现ZA,迈克菲监控把之前的本体残余杀掉。


真正的病毒本体被McAfee改名,所以可以重启动删除。


McAfee的效果相当不错,再次重启动Windows以后依然无ZA的存在,不错的效果。
==========================================================
应邀测试卡巴斯基,我用的是最新版本的2016 RC版,今天11点的病毒库。
由于卡巴需要.NET 4,所以直接用Windows 8.1系统测试。
文件监控启发杀,奇怪这个不是已经入库了吗。


为什么杀一个死毒也要求重启动?


关闭文件监控以后双击,被应用程序控制拦截。


关闭文件监控和应用程序控制以后,双击ZA,PDM拦截,但是驱动文件被锁转变成蓝色,跟基准线双击的时候差不多。


重启动Windows以后,关闭全部监控,让ZA成功运行,PC Hunter成功检测到ZA。


吃完饭回来,继续重新启动Windows,卡巴监控全开,无法发现系统中的ZA。


使用快速扫描,成功发现ZA的存在,点击清除并重启计算机。


卡巴开始启动高级清除,清理ZA并且重新启动。


重新启动Windows以后,PC Hunter没有发现ZA,但是还是有一个可疑PE。


再次重新启动Windows,一切正常,没有可疑PE的存在,只是重启动次数有一点多。


卡巴的成绩还是不错的,起码杀掉了ZA本体,已经很不错了。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 7分享 +1 人气 +7 收起 理由
子午卯酉 + 1 感谢解答: )
dongwenqi + 1 版区有你更精彩: )
白露为霜 + 2 求测试AVG,能能打
ELOHIM + 1 哇哦,Windows Defender..
a330391 + 1 感谢提供分享

查看全部评分

驭龙
 楼主| 发表于 2015-7-10 12:59:18 | 显示全部楼层
230f4 发表于 2015-7-10 12:57
告诉我有什么行为,不危险的话我试试

是最危险的一个高档Rootkits哟,不建议实机玩,因为是当初轰动一时的ZeroAccess

评分

参与人数 1人气 +1 收起 理由
哀酱俏佳人 + 1 版区有你更精彩: )

查看全部评分

胖福
发表于 2015-7-10 13:21:12 | 显示全部楼层
驭龙 发表于 2015-7-10 13:04
我在想,能不能文件排除,而不是SONAR排除,然后双击,会是什么后果,是入库的报法还是SONAR,或者干脆不 ...

我先试着把文件放到一个诺顿不检测的文件夹里面运行,结果自动防护检测到被释放到C盘的一个sys文件,但是却无法删除,提示需要专用工具!防火墙自动也拦截了文件的联网行为!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
驭龙 + 1 版区有你更精彩: )

查看全部评分

bbszy
发表于 2015-7-11 16:51:45 | 显示全部楼层
本帖最后由 bbszy 于 2015-7-11 18:04 编辑

刚从在win7 x86虚拟机中又测了一下诺顿22.5

先关autoprotect(顺带sonar关了),然后运行样本。

防火墙阻止了样本联网。系统部分驱动被锁。

诺顿的文件、驱动、进程正常。

恢复监控,一两分钟内未见弹窗提示。开始快速扫描。

扫描报了两个:


报Trojan.Zeroaccess!inf的需要工具清除,另一个说要重启清除。重启前运行pchunter未提示有ZA!

重启后在进入欢迎界面前,黑屏,并显示symantec is cleaning threat……进入系统后,系统部分驱动依然被锁。运行pchunter未提示有ZA,但驱动模块页面显示有一个可疑驱动对象(测试趋势的时候,显示有两个)。

实测NPE无法清除。

通过诺顿的检测结果说“需要工具清除”,到铁壳的网站下载的ZA fix tool,运行提示说未发现感染。。。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
驭龙 + 1 版区有你更精彩: )

查看全部评分

驭龙
 楼主| 发表于 2015-7-11 18:56:20 | 显示全部楼层
bbszy 发表于 2015-7-11 18:52
那确实是解决了。。。

话说感染之后扫描能解决都不错了。


嗯,McAfee是先把内存中的ZA模块解决掉,然后把被篡改的驱动后缀更改为ZYS,让ZA本体无法在下次重启动的时候死灰复燃,重启动以后再把ZA本体的尸体删除,就彻底解决ZA不死之身的问题了

因为驱动架构在那里摆着
白露为霜
发表于 2015-7-12 19:45:30 | 显示全部楼层
本帖最后由 root1605 于 2015-8-28 08:15 编辑

za是这样的啊http://bbs.kafan.cn/thread-1093019-1-1.html
bbszy
发表于 2015-7-13 15:34:17 | 显示全部楼层
本帖最后由 bbszy 于 2015-7-13 16:36 编辑

最新测试,趋势成功清除了!

测试环境:win7 x86 vmware 虚拟机,trendmicro internet security 英文版。

为了防止测试的偶然性,用同样的干净win7系统虚拟机快照测试了两遍。

过程:

1.安装趋势,更新,重启。

2.通过托盘图标关闭监控。运行样本。

3.样本成功运行,样本本体自我删除。防火墙无提示。部分系统驱动被锁,趋势文件、进程正常。打开pchunter弹窗提示发现ZA,驱动模块中有一个可疑PE。



4.恢复趋势监控,10分钟内无反应。

5.重启,趋势监控依然无反应。打开pchunter依然提示发现ZA。

6.运行趋势快速扫描。发现RTKT。提示需要重启清除。此时pchunter依然能发现ZA。




7.再次重启,运行趋势快速扫描,未发现威胁。打开pchunter未提示有ZA,驱动模块显示正常!趋势日志里未见其他日志。


8.反复重启、快速扫描,依旧是7的结果。

注:测试了两次。趋势均成功清除,但报毒有不同,分别是:


@pal家族

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
,就一个.
发表于 2015-8-5 02:23:01 | 显示全部楼层
本帖最后由 ,就一个. 于 2015-8-5 02:32 编辑

时间比较急,下了个影子系统(虽然也不见得保证安全)用BD 试了下 AVC可以完美拦截ZA,这个样本危险系数太高了,AVC不拦截的话感觉有点假了,。 且目前IDS在64位系统还是在影子系统下IDS拦截了PCHunter,似乎AVC和IDS均不会受到影子系统的影响。










本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
驭龙 + 1 版区有你更精彩: )

查看全部评分

230f4
发表于 2015-7-10 12:53:28 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
驭龙
 楼主| 发表于 2015-7-10 12:55:54 | 显示全部楼层

扫描基本上全杀的,测扫描没有什么玩头了,主要还是双击玩
fireold
发表于 2015-7-10 12:56:57 | 显示全部楼层
avira
[mw_shl_code=css,true]2015/7/10 下午 12:53 [System Scanner] 發現惡意程式碼
      檔案 'C:\Users\vpn\Desktop\ZeroAccess\ZeroAccess.exe'
      包含病毒或有害的程式 'TR/Drop.Fjord.A' [trojan]
      已採取動作:
      檔案會移動至 '505dfdea.qua' 名稱底下的隔離區目錄!

2015/7/10 下午 12:53 [System Scanner] 掃描
      掃描結束 [已完成全部的掃描.]。
      檔案數:        966
      目錄數:        0
      惡意程式碼數:        1
      警告數:        0

2015/7/10 下午 12:52 [Real-Time Protection] 發現惡意程式碼
      在檔案 'C:\Users\vpn\Desktop\ZeroAccess\ZeroAccess.exe 中
      偵測到病毒或有害的程式 'TR/Drop.Fjord.A [trojan]'
      執行的動作:拒絕存取[/mw_shl_code]
230f4
发表于 2015-7-10 12:57:28 | 显示全部楼层
驭龙 发表于 2015-7-10 12:55
扫描基本上全杀的,测扫描没有什么玩头了,主要还是双击玩


告诉我有什么行为,不危险的话我试试
温馨小屋
头像被屏蔽
发表于 2015-7-10 12:57:44 | 显示全部楼层
文件名: zeroaccess.exe
威胁名称: Trojan.FakeAV!gen39完整路径: c:\users\vmm\desktop\zeroaccess\zeroaccess.exe

____________________________

____________________________



____________________________


zeroaccess.exe 威胁名称: Trojan.FakeAV!gen39
定位


极少用户信任的文件
诺顿社区中有 不到 5 名用户使用了此文件。

极新的文件
该文件已在 不到 1 周 前发行。


此文件具有高风险。


____________________________


来源: 外部介质


____________________________

文件操作

文件: c:\users\vmm\desktop\zeroaccess\ zeroaccess.exe 已阻止
____________________________


文件指纹 - SHA:
不可用
文件指纹 - MD5:
不可用
230f4
发表于 2015-7-10 13:00:53 | 显示全部楼层
驭龙 发表于 2015-7-10 12:59
是最危险的一个高档Rootkits哟,不建议实机玩,因为是当初轰动一时的ZeroAccess

额,那算了,诺顿上
胖福
发表于 2015-7-10 13:02:03 | 显示全部楼层
驭龙 发表于 2015-7-10 12:59
是最危险的一个高档Rootkits哟,不建议实机玩,因为是当初轰动一时的ZeroAccess

入库就不太好玩儿了!
驭龙
 楼主| 发表于 2015-7-10 13:04:55 | 显示全部楼层
胖福 发表于 2015-7-10 13:02
入库就不太好玩儿了!

我在想,能不能文件排除,而不是SONAR排除,然后双击,会是什么后果,是入库的报法还是SONAR,或者干脆不杀了,哈哈
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2022-8-12 08:04 , Processed in 0.140797 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表