SCEP 再战 Zero Access ，安全模式助一臂之力！

ELOHIM

昨晚无聊，双击了zero access。
先解压的，SCEP立即提示不用担心，已自动处理检测到的高危威胁。      
这个也没有什么好评价的，莫非你需要我进系统里面帮你一起和恶意文件找猫猫吗？相信我，猫猫是好猫猫，一点也不黑。
随后，我手动关掉SCEP全部保护，双击臭名昭著的Zero Access文件。
（记得在双击之前给它一个扩展名，exe比较好，com也可以。加上以后，你会发现，机智的微软立即给它增加了防护服UAC盾牌标志一枚。）
当然点击UAC 是了，这也是你们的习惯，不是吗？
下面是它的出站连接信息：
[mw_shl_code=css,true]ZeroAccess.exe  2884  TCP  ^-pc  49726  94.75.199.163  8083  SYN_SENT[/mw_shl_code]   
process explorer显示VT上面报毒数时大概是44/54，具体忘记了，也没有截图。抱歉！                                                     
下面这条日志挺可疑的，时间是双击之后，GUID都是0，配置大量的计划任务，并且使用了runas命令来实现。
[mw_shl_code=css,true]试图使用显式凭据登录。
主题:
        安全 ID:                SYSTEM
        帐户名:                ^-PC$
        帐户域:                WORKGROUP
        登录 ID:                0x3e7
        登录 GUID:                {00000000-0000-0000-0000-000000000000}

使用了哪个帐户的凭据:
        帐户名:                ^
        帐户域:                ^-PC
        登录 GUID:                {00000000-0000-0000-0000-000000000000}

目标服务器:
        目标服务器名:        localhost
        附加信息:        localhost

进程信息:
        进程 ID:                0x1a4
        进程名:                C:\Windows\System32\winlogon.exe

网络信息:
        网络地址:        127.0.0.1
        端口:                        0

在进程尝试通过显式指定帐户的凭据来登录该帐户时生成此事件。这通常发生在批量类型的配置中(例如计划任务) 或者使用 RUNAS 命令时。[/mw_shl_code]
好的，现在你会发现的系统有问题了。首先鼠标迟滞，资源管理器卡顿，autoruns检测drivers一项一直这样加载状态。使用SCEP快速扫描，就会发现特别特别卡，扫描字体ttf都卡着不动，c:\windows\system32\drivers下大量驱动被锁定，设备管理器打不开等等。
重启一次，无法进入系统，用户登录以后，桌面假死，不能操作。
重启二次，依旧。
重启三次，进入安全模式，双击打开SCEP立即对c:\windows\system32\drivers进行扫描并报告发现一枚恶意驱动：

允许SCEP干掉，安全模式全盘扫描，无异常。手动恢复SCEP开机启动项。（修改一下注册表即可）
[mw_shl_code=css,true]Microsoft 反恶意软件 已检测到恶意软件或其他可能不需要的软件。
有关更多信息，请查看下列内容:
http://go.microsoft.com/fwlink/? ... 643326&enterprise=1
         名称: Trojan:Win32/Sirefef.G
         ID: 2147643326
         严重性: 严重
         类别: 特洛伊木马
         路径: driver:_DfsC;file:_C:\Windows\System32\drivers\dfsc.sys;regkey:_HKLM\SYSTEM\CURRENTCONTROLSET\CONTROL\SAFEBOOT\NETWORK\dfsc;safeboot:_HKLM\SYSTEM\CURRENTCONTROLSET\CONTROL\SAFEBOOT\NETWORK\dfsc;service:_dfsc
         检测原点: 本地计算机
         检测类型: 具体
         检测源: 用户
         用户: ^-PC\^
         进程名称: Unknown
         签名版本: AV: 1.203.525.0, AS: 1.203.525.0, NIS: 0.0.0.0
         引擎版本: AM: 1.1.11903.0, NIS: 0.0.0.0[/mw_shl_code]
[mw_shl_code=css,true]
        类别: 特洛伊木马
        描述: 这个程序很危险，而且执行来自攻击者的命令。
        推荐的操作: 立即删除这个软件。
        项目:
        driver:DfsC
        file:C:\Windows\System32\drivers\dfsc.sys
        regkey:HKLM\SYSTEM\CURRENTCONTROLSET\CONTROL\SAFEBOOT\NETWORK\dfsc
        safeboot:HKLM\SYSTEM\CURRENTCONTROLSET\CONTROL\SAFEBOOT\NETWORK\dfsc
        service:dfsc
        联机获取此项的详细信息。[/mw_shl_code]  
重启四次，登录用户，顺利进入桌面。再次全盘扫描无异常。
打开 PC Hunter，各个选项卡逐一打开，未报告ZA存在。
现在设备管理可以进：

系统驱动依然被锁定项：

auturuns驱动扫描正常，开机未发现可疑项，SCEP更新正常。无可疑出站链接。process explorer和autoruns的全部项目VT上报告安全。

现在使用RootkitRevealer扫描系统，但是结果好几千条，不能保存为文件。

虚拟机准备恢复快照。

感谢观瞻。错误纰漏欢迎跟贴指正。

结束。

龙大测试贴。

驭龙

之前的猜测不准确，编辑掉。

看起来SCEP还是需要安全模式，才能发现这样的ZA驱动本体了。

感谢E大的补充测试，我的人气现在是负数，只能明天给你加人气了

ELOHIM

驭龙 发表于 2015-7-27 09:56
难怪我上次测试没有发现感染以后的ZA，原来是释放出的驱动病毒没有入库，因为上次测试时SCEP报的母体是Troj ...

母体也是BB，没有截图上来。但是dfsc.sys就是G了。

我不是大，我是Elohim，自由自在的Elohim^

驭龙

ELOHIM 发表于 2015-7-27 09:59
母体也是BB，没有截图上来。但是dfsc.sys就是G了。

我不是大，我是Elohim，自由自在的Elohim^

不要谦虚啦，其实你很强的，E大

ELOHIM

@ericdj 感谢大神评分。

ELOHIM

驭龙 发表于 2015-7-27 10:03
是啊，所以上次没有发现Trojan:Win32/Sirefef.G，只能发现Trojan:Win32/Sirefef.BB这个母体，怪不得我上 ...

是因为最近入库的吗？
我也不清楚。哈……

ericdj

ELOHIM 发表于 2015-7-27 10:04
@ericdj 感谢大神评分。

我不是大神……

AVG修复的文件直接被锁定，无法删除……

准备转投小a！

驭龙

ELOHIM 发表于 2015-7-27 10:05
是因为最近入库的吗？
我也不清楚。哈……

查了一下MMPC 这个不是新入库的啊，近期也没有更新。
看来真的是需要安全模式了

更新信息
http://www.microsoft.com/securit ... hreatID=-2147323970

ELOHIM

ericdj 发表于 2015-7-27 10:10
我不是大神……

AVG修复的文件直接被锁定，无法删除……

这是什么意思？修复的文件被锁定？？

ELOHIM

驭龙 发表于 2015-7-27 10:10
查了一下MMPC 这个不是新入库的啊，近期也没有更新。
看来真的是需要安全模式了

嗯 ，2011年就入库了。。
或者双击以后，你有没有查杀c:\windows\system32\drivers文件夹呢？