精睿包中发现一枚ZeroAccess【MA ESET 黑寡妇迈克菲卡巴，双击大战ZeroAccess变种】

显示全部楼层 · 发表于 2015-7-11 19:42:15

bbszy 发表于 2015-7-11 19:21
能简单介绍一下咖啡的监控体系吗？

虽然McAfee的监控也有FS Filter，也是这一类，可问题是它不想是独立的体系，不依赖于Windows的文件系统筛选管理器，其他我也不是很清楚

显示全部楼层 · 发表于 2015-7-11 19:45:05

@驭龙这货很奇怪，实机测试一直在修改系统驱动，没有别的危险行为吗？

显示全部楼层 · 发表于 2015-7-11 19:49:17

tg123321 发表于 2015-7-11 19:45
@驭龙这货很奇怪，实机测试一直在修改系统驱动，没有别的危险行为吗？

当然不单单这样，它会一点点给你送大礼包，安装它推广的东西，劫持访问的内容等，基本上已经是肉鸡了，信息会被窃取，为什么敢实机玩？你对你的安全软件就那么自信吗？很危险的，而且难以清除，千万不能实机玩

显示全部楼层 · 发表于 2015-7-11 19:50:18

win8.1x64测试不能

显示全部楼层 · 发表于 2015-7-11 19:51:32

驭龙发表于 2015-7-11 19:49
当然不单单这样，它会一点点给你送大礼包，安装它推广的东西，劫持访问的内容等，基本上已经是肉鸡了，信 ...

comodo的hips将其修改驱动的行为全部拦截，PC Hunter也未检测到

运行过程中未发现联网行为

显示全部楼层 · 发表于 2015-7-11 19:55:38

驭龙发表于 2015-7-11 19:49
当然不单单这样，它会一点点给你送大礼包，安装它推广的东西，劫持访问的内容等，基本上已经是肉鸡了，信 ...

不知道这样算不算拦截成功，我用comodo结束了进程

@驭龙

2015-07-11 19:46:21 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\rassstp.sys
2015-07-11 19:46:21 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\tunnel.sys
2015-07-11 19:46:17 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\tunnel.sys
2015-07-11 19:46:11 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\rassstp.sys
2015-07-11 19:46:09 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\ndiswan.sys
2015-07-11 19:46:09 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\tap0901.sys
2015-07-11 19:46:09 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\VBoxNetAdp.sys
2015-07-11 19:46:07 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\VBoxNetAdp.sys
2015-07-11 19:46:04 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\tap0901.sys
2015-07-11 19:46:02 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\ndistapi.sys
2015-07-11 19:46:01 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\ndiswan.sys
2015-07-11 19:45:58 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\ndistapi.sys
2015-07-11 19:45:57 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\discache.sys
2015-07-11 19:45:57 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\dfsc.sys
2015-07-11 19:45:57 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\BAPIDRV.SYS
2015-07-11 19:45:56 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\BAPIDRV.SYS
2015-07-11 19:45:53 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\dfsc.sys
2015-07-11 19:45:51 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\discache.sys
2015-07-11 19:45:50 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\npsvctrig.sys
2015-07-11 19:45:50 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\mssmbios.sys
2015-07-11 19:45:48 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\mssmbios.sys
2015-07-11 19:45:45 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\npsvctrig.sys
2015-07-11 19:45:44 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\VBoxDrv.sys
2015-07-11 19:45:44 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\nsiproxy.sys
2015-07-11 19:45:42 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\nsiproxy.sys
2015-07-11 19:45:39 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\VBoxDrv.sys
2015-07-11 19:45:38 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\csc.sys
2015-07-11 19:45:38 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\wanarp.sys
2015-07-11 19:45:38 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\VBoxUSBMon.sys
2015-07-11 19:45:35 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\VBoxUSBMon.sys
2015-07-11 19:45:32 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\wanarp.sys
2015-07-11 19:45:28 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\csc.sys
2015-07-11 19:45:27 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\inspect.sys
2015-07-11 19:45:27 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\netbios.sys
2015-07-11 19:45:27 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\rdbss.sys
2015-07-11 19:45:25 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\rdbss.sys
2015-07-11 19:45:21 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\netbios.sys
2015-07-11 19:45:19 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\afd.sys
2015-07-11 19:45:16 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\inspect.sys
2015-07-11 19:44:04 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\netbt.sys
2015-07-11 19:44:02 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\afd.sys
2015-07-11 19:43:59 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\netbt.sys
2015-07-11 19:43:58 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\tdx.sys
2015-07-11 19:43:58 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\cmdhlp.sys
2015-07-11 19:43:56 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\cmdhlp.sys
2015-07-11 19:43:52 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\tdx.sys
2015-07-11 19:43:51 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\npfs.sys
2015-07-11 19:43:51 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\msfs.sys
2015-07-11 19:43:49 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\msfs.sys
2015-07-11 19:43:46 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\npfs.sys
2015-07-11 19:43:45 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\dxgkrnl.sys
2015-07-11 19:43:45 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\BasicDisplay.sys
2015-07-11 19:43:42 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\BasicDisplay.sys
2015-07-11 19:43:40 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\BasicRender.sys
2015-07-11 19:43:37 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\dxgkrnl.sys
2015-07-11 19:43:34 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\BasicRender.sys
2015-07-11 19:43:33 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\cmdguard.sys
2015-07-11 19:43:33 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\null.sys
2015-07-11 19:43:30 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\null.sys
2015-07-11 19:43:27 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\cmdguard.sys
2015-07-11 19:43:25 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\cmderd.sys
2015-07-11 19:43:25 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\cdrom.sys
2015-07-11 19:43:19 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\cdrom.sys
2015-07-11 19:43:18 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe
2015-07-11 19:43:15 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Windows\System32\Drivers\cmderd.sys
2015-07-11 19:43:12 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 访问COM接口 LocalSecurityAuthority.Restore
2015-07-11 19:43:09 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 修改文件 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe
2015-07-11 19:43:06 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 访问内存 C:\Windows\System32\smss.exe
2015-07-11 19:43:04 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 访问COM接口 LocalSecurityAuthority.Restore
2015-07-11 19:42:52 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe 访问内存 C:\Windows\System32\smss.exe
2015-07-11 19:42:48 C:\Windows\explorer.exe 创建进程 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe
2015-07-11 19:42:40 C:\Windows\explorer.exe 创建进程 C:\Users\Terry\Desktop\ZeroAccess\ZeroAccess.exe

显示全部楼层 · 发表于 2015-7-11 19:55:43

tg123321 发表于 2015-7-11 19:51
comodo的hips将其修改驱动的行为全部拦截，PC Hunter也未检测到
运行过程中未发现联网行为

祝你好运，如果样本自我删除，基本上就是成功运行。

显示全部楼层 · 发表于 2015-7-11 19:56:08

期待大神对卡巴进行测试，拉出来溜溜看看。

显示全部楼层 · 发表于 2015-7-11 19:57:07

驭龙发表于 2015-7-11 19:55
祝你好运，如果样本自我删除，基本上就是成功运行。

166楼已贴出拦截日志，记录下来的行为除了explorer创建进程之外全拦截了

显示全部楼层 · 发表于 2015-7-11 19:58:31

steven_lzs 发表于 2015-7-11 19:56
期待大神对卡巴进行测试，拉出来溜溜看看。

我明天开始工作忙了，不一定有时间测试，不过我觉得Kaspersky的话，已经入库就有回滚，不好测了

[其他相关] 精睿包中发现一枚ZeroAccess【MA ESET 黑寡妇 迈克菲 卡巴，双击大战ZeroAccess变种】

[其他相关] 精睿包中发现一枚ZeroAccess【MA ESET 黑寡妇迈克菲卡巴，双击大战ZeroAccess变种】