正统的Rootkits病毒，JM.SYS驱动很危险

显示全部楼层 · 发表于 2015-11-11 16:41:12

ELOHIM 发表于 2015-11-11 16:38
在c:%users%username\downloads 文件夹内解压的zip 格式。

多谢找到原因了

显示全部楼层 · 发表于 2015-11-11 16:42:20

驭龙发表于 2015-11-11 16:29
可惜我把Surface 3的WD禁用了，不然去试一试，Surface 3是64系统，只可惜WD好像很耗电，所以禁用了

文件夹名称为英文名就正常- -

显示全部楼层 · 发表于 2015-11-11 16:42:48

ELOHIM 发表于 2015-11-11 16:38
在c:%users%username\downloads 文件夹内解压的zip 格式。

你把文件夹改为中文看看了- -

显示全部楼层 · 发表于 2015-11-11 16:44:43

君陌潇发表于 2015-11-11 16:42
你把文件夹改为中文看看了- -

没有测试了。
下面是日志信息。
Windows Defender 已检测到恶意软件或其他潜在的垃圾软件。
请参阅以下详细信息:
http://go.microsoft.com/fwlink/? ... 63&enterprise=0
名称: VirTool:Win32/Rootkit.BU
ID: 2147625363
严重性: 严重
类别: 工具
路径: containerfile:_C:\Users\kafan\Downloads\Rootkits\Rootkits.vir;file:_C:\Users\kafan\Downloads\Rootkits\Rootkits.vir->(UPX)->(VFS:JM.sys#1)
检测来源: 本地计算机
检测类型: 实际
检测源: 下载和附件
用户: \kafan
进程名称: Unknown
签名版本: AV: 1.209.2410.0, AS: 1.209.2410.0, NIS: 115.26.0.0
引擎版本: AM: 1.1.12205.0, NIS: 2.1.11804.0
Windows Defender 已检测到恶意软件或其他潜在的垃圾软件。
请参阅以下详细信息:
http://go.microsoft.com/fwlink/? ... 68&enterprise=0
名称: Trojan:Win32/Toga!rfn
ID: 2147696168
严重性: 严重
类别: 特洛伊木马
路径: containerfile:_C:\Users\kafan\Downloads\Rootkits\Rootkits.vir;file:_C:\Users\kafan\Downloads\Rootkits\Rootkits.vir->(UPX);file:_C:\Users\kafan\Downloads\Rootkits\Rootkits.vir->(UPX)->(VFS:TXP1atform.exe)->(UPX)
检测来源: 本地计算机
检测类型: 实际
检测源: 实时保护
用户: \kafan
进程名称: C:\Windows\explorer.exe
签名版本: AV: 1.209.2410.0, AS: 1.209.2410.0, NIS: 115.26.0.0
引擎版本: AM: 1.1.12205.0, NIS: 2.1.11804.0
-----------------------------
downloads 文件夹是系统默认IE和edge 下载文件夹，WD必须监控的吧。
具体我不知道…………

显示全部楼层 · 发表于 2015-11-11 16:45:31

ELOHIM 发表于 2015-11-11 16:44
没有测试了。
下面是日志信息。
Windows Defender 已检测到恶意软件或其他潜在的垃圾软件。

中文名的文件夹和英文的是2个结果- -

显示全部楼层 · 发表于 2015-11-11 16:45:35

君陌潇发表于 2015-11-11 16:42
文件夹名称为英文名就正常- -

那就以后英文文件夹哦。。嘿嘿，下了

显示全部楼层 · 发表于 2015-11-11 16:55:04

本帖最后由 aboringman 于 2015-11-11 17:45 编辑

@驭龙我来了，你们都不等我

接下来，照例三件套（扫描+主防+清毒）

首先来扫描：

然后来主防：

接下来的清毒：

主要过程：关闭卡巴所有保护，双击样本，病毒成功运行并添加启动项。重启后，发现卡巴斯基无法启动（被劫持），用PCHunter解除劫持后，卡巴正常运行，并击杀危险衍生物（没有发现JM.SYS，只击杀了TXP1atform.exe），目前病毒已被控制，我正在全扫中。

显示全部楼层 · 发表于 2015-11-11 17:25:40

君陌潇发表于 2015-11-11 16:42
文件夹名称为英文名就正常- -

看来还是引擎问题，支持中文不到位，不好

显示全部楼层 · 发表于 2015-11-11 17:46:29

驭龙发表于 2015-11-11 17:25
看来还是引擎问题，支持中文不到位，不好

龙大看67楼，这劫持修复得真。。。。。。

不过我觉得这个比Zbot弱多了

显示全部楼层 · 发表于 2015-11-11 17:49:36

aboringman 发表于 2015-11-11 17:46
龙大看67楼，这劫持修复得真。。。。。。
不过我觉得这个比Zbot弱多了

哈，这个驱动好像会感染其他驱动，本身并不出现吧，不过劫持的很猛啊，哈

[病毒样本] 正统的Rootkits病毒，JM.SYS驱动很危险

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块