精睿包中发现一枚ZeroAccess【MA ESET 黑寡妇 迈克菲 卡巴，双击大战ZeroAccess变种】

bbszy

驭龙 发表于 2015-7-13 14:05
Norton啊，可惜驱动化引擎了，我真的不知道它的驱动化引擎是做什么的，唉

不知道跟诺顿的引擎驱动加载很靠后有关没有

bbszy

驭龙 发表于 2015-7-13 13:58
现在最霸气的还是黑寡妇，开预防性保护很快就灭ZA，而MA只能防大部分但不完美，我都放弃MA了，现在上McAf ...

预防性保护有监控的作用？

驭龙

bbszy 发表于 2015-7-13 14:17
不知道跟诺顿的引擎驱动加载很靠后有关没有

那TrendMicro的一个提前启动驱动，加载是多么靠前，可结果还是不行，而黑寡妇的驱动是三十几位的加载顺序在Windows 8.1上，可还是解决掉ZA了，所以不太可能是这个原因吧，不过也确实是奇怪，强大的驱动化引擎居然毫无用武之地，无法理解，不过话说回来诺顿的驱动化引擎不是扫描和监控Rootkits的，哈

驭龙

bbszy 发表于 2015-7-13 14:18
预防性保护有监控的作用？

谁知道，可能是因为跟反Rootkits有关联吧，你看图，当时我没有开Spider Guard就只是开预防性保护就杀ZA了，难道跟ESET差不多，内存扫描合并到主防？这个我也不清楚了

zpf94

虚拟机里试了下BD，32位WIN7，关闭扫描后AVC很干脆的拦截了，而且还删掉了ZA源文件。运行PC Hunter也没有提示。后来实在好奇，把BD扫描，IDS，AVC，防火墙都关了，双击运行。再打开PC Hunter居然还不提示倒是有几个可疑驱动对象，重启后正在做全盘扫描，看看能杀几个。。。

bbszy

驭龙 发表于 2015-7-13 14:22
那TrendMicro的一个提前启动驱动，加载是多么靠前，可结果还是不行，而黑寡妇的驱动是三十几位的加载顺序 ...

但是从逻辑上来说，诺顿既然能发现rootkit，应该可以通过通信，让负责清除的驱动来清除。。。所以我觉得问题在于，驱动不够厉害，或者没有找到咖啡那样的清除策略。很搞笑的是，诺顿自己是清楚自己没法清除的，所以给提示要工具清除，但工具也没用。。。。

驭龙

bbszy 发表于 2015-7-13 14:41
但是从逻辑上来说，诺顿既然能发现rootkit，应该可以通过通信，让负责清除的驱动来清除。。。所以我觉得 ...

刚才打开浏览器，程序错误，打开任务管理器系统错误，关机失效，我才让系统活过来，查日志，应该是McAfee锁死DCOM服务，导致一个注册值无法注册DCOM，我用McAfee也有很多次，从未有过这种情况，唉，我还是滚回基准线吧，哈。

其实Norton的反Rootkits驱动也是自动调用的，真的不知道为啥无法干掉ZA，我也无法理解

bbszy

最新测试，趋势成功清除了！

测试环境：win7 x86 vmware 虚拟机，trendmicro internet security 英文版。

为了防止测试的偶然性，用同样的干净win7系统虚拟机快照测试了两遍。

过程：

1.安装趋势，更新，重启。

2.通过托盘图标关闭监控。运行样本。

3.样本成功运行，样本本体自我删除。防火墙无提示。部分系统驱动被锁，趋势文件、进程正常。打开pchunter弹窗提示发现ZA，驱动模块中有一个可疑PE。



4.恢复趋势监控，10分钟内无反应。

5.重启，趋势监控依然无反应。打开pchunter依然提示发现ZA。

6.运行趋势快速扫描。发现RTKT。提示需要重启清除。此时pchunter依然能发现ZA。




7.再次重启，运行趋势快速扫描，未发现威胁。打开pchunter未提示有ZA，驱动模块显示正常！趋势日志里未见其他日志。


8.反复重启、快速扫描，依旧是7的结果。

注：测试了两次。趋势均成功清除，但报毒有不同，分别是：


@pal家族

驭龙

bbszy 发表于 2015-7-13 15:34
最新测试，趋势成功清除了！

测试环境：win7 x86 vmware 虚拟机，trendmicro internet security 英文版
...

我早就说TrendMicro不应该搞不定Rootkits啊，不过你测试的有一点乱，前后结果咋一不一样呢？奇怪

bbszy

驭龙 发表于 2015-7-13 16:04
我早就说TrendMicro不应该搞不定Rootkits啊，不过你测试的有一点乱，前后结果咋一不一样呢？奇怪

我也不知道。。。我刚又恢复快照，测试第二遍。。。