楼主: 驭龙
收起左侧

[其他相关] 精睿包中发现一枚ZeroAccess【MA ESET 黑寡妇 迈克菲 卡巴,双击大战ZeroAccess变种】

  [复制链接]
wjy19800315
发表于 2015-7-11 13:15:46 | 显示全部楼层
驭龙 发表于 2015-7-11 12:59
哇,那我应该管你叫W哥,哈哈,其实什么事情看开就好,没必要太认真的

呵呵
空度几十春秋啊
驭龙
 楼主| 发表于 2015-7-11 13:18:07 | 显示全部楼层
wjy19800315 发表于 2015-7-11 13:15
呵呵
空度几十春秋啊

其实我也这样,有时候太认真,所以当初也得罪不少人,现在有时候也时常犯病,所以不要在意这些细节,来卡饭玩,开心就好,其他都是浮云

评分

参与人数 1人气 +1 收起 理由
wjy19800315 + 1 谢谢1

查看全部评分

bbszy
发表于 2015-7-11 15:10:36 | 显示全部楼层
本帖最后由 bbszy 于 2015-7-11 15:41 编辑

刚刚在win7 x86虚拟机里试了一下。

装的是趋势。

更新到最新,通过托盘的趋势图标右键关闭了监控,运行样本。

样本成功运行,运行期间无防火墙提示。部分系统驱动被锁。趋势的文件、进程、驱动正常。

恢复监控,无提示。快速扫描,能发现rootkit(报DCT_RTKT_XXX)和一个驱动(文件名是字母和数字的随机组合,测试期间文件名没有变化),rootkit显示removed,感染驱动显示detected。重启、快速扫描,重复三次,结果一样,但每次发现的rootkit的报法中XXX不一样。rootkit依然显示removed,感染驱动依然显示detected。用PCHunter能检测到ZA的存在。
驭龙
 楼主| 发表于 2015-7-11 15:28:54 | 显示全部楼层
bbszy 发表于 2015-7-11 15:10
刚刚在win7 x86虚拟机里试了一下。

装的是趋势。

我也准备试一下TrendMicro的,不过你测了,我就不测了,这个ZA是随机感染系统驱动的,某个内存模块才是核心。

现在好像只有DrWeb能够对抗成功,而且是没有文件监控的前提下,这个不简单啊。

现在不知道卡巴会是什么结果了,TrendMicro Symantec Microsoft ESET DrWeb的情况都知道了,还有哪个没有测?
bbszy
发表于 2015-7-11 15:34:36 | 显示全部楼层
本帖最后由 bbszy 于 2015-7-11 15:37 编辑
驭龙 发表于 2015-7-11 15:28
我也准备试一下TrendMicro的,不过你测了,我就不测了,这个ZA是随机感染系统驱动的,某个内存模块才是核 ...


那个趋势的处理为detected的驱动,应该是ZA的驱动,是一个字母和数字的随机文件名。测试期间文件名没有变化。

其他有小锁的驱动都没有报。

主流的就剩卡巴了吧。。
EnZhSTReLniKoVa
发表于 2015-7-11 15:34:46 | 显示全部楼层
驭龙 发表于 2015-7-11 15:28
我也准备试一下TrendMicro的,不过你测了,我就不测了,这个ZA是随机感染系统驱动的,某个内存模块才是核 ...

BD 好像没有测试。。 也就AVC拦截了一下。。
驭龙
 楼主| 发表于 2015-7-11 15:39:57 | 显示全部楼层
bbszy 发表于 2015-7-11 15:34
那个趋势的处理为detected的驱动,应该是ZA的驱动,是一个字母和数字的随机文件名。测试期间文件名没有 ...

那个应该不是本体,看黑寡妇的情况,是附在一个系统驱动中,当然感染的是驱动是随机的,只有把这个干掉,重启以后就不会出现随机生成的驱动,ZA本体就被灭了
驭龙
 楼主| 发表于 2015-7-11 15:42:22 | 显示全部楼层
君陌潇 发表于 2015-7-11 15:34
BD 好像没有测试。。 也就AVC拦截了一下。。

BitDefender不好测,虚拟机中虽然能启用硬件虚拟化的AVC,但不保证能没有影响,实机谁敢测ZA啊,所以BitDefender不好测。
bbszy
发表于 2015-7-11 15:43:14 | 显示全部楼层
驭龙 发表于 2015-7-11 15:39
那个应该不是本体,看黑寡妇的情况,是附在一个系统驱动中,当然感染的是驱动是随机的,只有把这个干掉, ...

那可能趋势没有检测到。

每次只检测到了这个随机文件名的驱动,和报DCT_RTKT_XXX
驭龙
 楼主| 发表于 2015-7-11 15:45:46 | 显示全部楼层
bbszy 发表于 2015-7-11 15:43
那可能趋势没有检测到。

每次只检测到了这个随机文件名的驱动,和报DCT_RTKT_XXX

不知道个人版的咖啡会是什么情况,三大就它没有测,而且它也有Rootkits监控,很好奇,可惜个人版安装太恐怖,只能以后有机会再说了,目测McAfee个人版应该有可能解决ZA,当然只是猜测
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 18:58 , Processed in 0.104058 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表