搜索
查看: 5555|回复: 43
收起左侧

[病毒样本] 【虐杀MD第8发,填坑系列】XP32位下完美击穿MD

[复制链接]
lifan88
发表于 2017-1-18 00:02:10 | 显示全部楼层 |阅读模式
本帖最后由 lifan88 于 2017-1-19 12:14 编辑

测试环境:XP32位
击穿原因:不加驱动R3下直接使SSTD表变成两个,MD的大部分防御瞬间哑火,MD没有拦截
击穿结果:后续驱动被加载,SVCHOST.EXE失控
PS:不排除是漏洞搞了SSTD表
谁来试试看



只要允许该注册表操作:
2017-1-18 10:07:31    修改注册表值 风险级别:未知    阻止
进程: c:\documents and settings\administrator\桌面\md终结者.exe
目标: HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\Configuration Data
值: ff ff ff ff ff ff ff ff 00 00 00 00 02 00 00 00 05 00 00 00 24 00 00 00 00 00 00 00 00 00 00 00 80 00 fe 03 00 00 3f 00 fe 00 03 00 81 00 fe 03 00 00 3f 00 fe 00 03 00 82 00 fe 03 00 00 3f 00 fe 00 03 00 05 00 00 00 20 00 00 00 00 00 00 00 00 00 00 00 00 00 0c 00 00 e8 00 00 00 00 0e 00 00 00 01 00 00 00 0f 00 00 00 01 00 70 55 50 00 00 10 00 00
规则: [注册表组]拦截_Explorer -> [注册表]HKEY_LOCAL_MACHINE\HARDWARE*


看看MD会不会很那啥

PS:该毒为XP时代的毒,试了WIN7-32跑不起来

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
lifan88
 楼主| 发表于 2017-1-21 22:13:16 | 显示全部楼层
@左手 @电脑发烧友


病毒动作:

2017-1-21 21:48:26    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\documents and settings\administrator\桌面\md终结者.exe
命令行: "C:\Documents and Settings\Administrator\桌面\MD终结者.exe"
规则: [应用程序]c:\windows\explorer.exe

2017-1-21 21:48:27    读文件    允许
进程: c:\documents and settings\administrator\桌面\md终结者.exe
目标: C:\WINDOWS\system32\ntkrnlpa.exe
规则: [文件]*; ntkrnlpa.exe


2017-1-21 21:48:29    修改注册表值    允许
进程: c:\documents and settings\administrator\桌面\md终结者.exe
目标: HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\Configuration Data
值: ff ff ff ff ff ff ff ff 00 00 00 00 02 00 00 00 05 00 00 00 0c 00 00 00 00 00 00 00 00 00 00 00 80 00 fe 03 00 00 3f 00 fe 00 01 00 05 00 00 00 30 00 00 00 00 00 00 00 00 00 00 00 00 00 0c 00 00 80 00 00 00 80 0c 00 00 10 00 00 00 c0 0d 00 00 40 00 00 00 00 0e 00 00 80 00 00 00 00 0f 00 00 00 01 00 50 54 50 00 00 10 00 00
规则: [注册表]HKEY_LOCAL_MACHINE\HARDWARE\*


2017-1-21 21:48:30    修改文件    允许
进程: c:\documents and settings\administrator\桌面\md终结者.exe
目标: \Device\NamedPipe\lsarpc
规则: [文件]*

2017-1-21 21:48:33    读文件 (3)    允许
进程: c:\documents and settings\administrator\桌面\md终结者.exe
目标: C:\WINDOWS\system32\ntkrnlpa.exe
规则: [文件]*; ntkrnlpa.exe


2017-1-21 21:48:35    修改注册表值    允许
进程: c:\documents and settings\administrator\桌面\md终结者.exe
目标: HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\Configuration Data
值: ff ff ff ff ff ff ff ff 00 00 00 00 02 00 00 00 05 00 00 00 0c 00 00 00 00 00 00 00 00 00 00 00 80 00 fe 03 00 00 3f 00 fe 00 01 00 05 00 00 00 28 00 00 00 00 00 00 00 00 00 00 00 00 00 0c 00 00 80 00 00 00 80 0c 00 00 10 00 00 00 c0 0d 00 00 40 00 00 00 00 0e 00 00 80 00 00 00 00 0f 00 00 00 01 00
规则: [注册表]HKEY_LOCAL_MACHINE\HARDWARE\*


然后MD就。。。。


2017-1-21 21:48:40    访问网络    允许
进程: c:\windows\system32\svchost.exe
目标: UDP [本机 : 1025] ->  [210.21.4.130 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2017-1-21 21:48:42    访问网络    允许
进程: c:\windows\system32\svchost.exe
目标: TCP [本机 : 1031] ->  [67.215.238.77 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2017-1-21 21:49:28    访问网络    允许
进程: c:\windows\system32\svchost.exe
目标: TCP [本机 : 1032] ->  [67.215.238.77 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2017-1-21 21:50:01    访问网络    允许
进程: c:\windows\system32\svchost.exe
目标: TCP [本机 : 1033] ->  [67.215.238.77 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2017-1-21 21:50:35    访问网络    允许
进程: c:\windows\system32\svchost.exe
目标: TCP [本机 : 1034] ->  [67.215.238.77 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2017-1-21 21:51:12    访问网络    允许
进程: c:\windows\system32\svchost.exe
目标: TCP [本机 : 1035] ->  [67.215.238.77 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2017-1-21 21:51:47    访问网络    允许
进程: c:\windows\system32\svchost.exe
目标: TCP [本机 : 1036] ->  [67.215.238.77 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2017-1-21 21:52:24    访问网络    允许
进程: c:\windows\system32\svchost.exe
目标: TCP [本机 : 1037] ->  [67.215.238.77 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2017-1-21 21:53:09    访问网络    阻止
进程: c:\windows\system32\svchost.exe
目标: TCP [本机 : 1038] ->  [67.215.238.77 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2017-1-21 21:53:24    访问网络    阻止
进程: c:\windows\system32\svchost.exe
目标: TCP [本机 : 1039] ->  [67.215.238.77 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

症状(MD检查):








手杀:
第一步:摘去系统回调:

第二步:恢复未知内核钩子:

可以看到病毒的保护废了(从高红变绿):

第三步:手动暂停SVCHOST被强制创建的线程:

第四步:删除真实驱动

第五步:删除驱动注册表

第六步:结束SVCHOST里的病毒线程

重启,ROOTKIT死了,SVCHOST恢复正常

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +4 收起 理由
liulangzhecgr + 3
左手 + 1 版区有你更精彩: )

查看全部评分

lifan88
 楼主| 发表于 2017-1-18 00:02:49 | 显示全部楼层
来不及变成了后天系列。。各位对不起啊
左手
发表于 2017-1-18 10:08:06 | 显示全部楼层
2017-1-18 10:07:31    修改注册表值 风险级别:未知    阻止
进程: c:\documents and settings\administrator\桌面\md终结者.exe
目标: HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\Configuration Data
值: ff ff ff ff ff ff ff ff 00 00 00 00 02 00 00 00 05 00 00 00 24 00 00 00 00 00 00 00 00 00 00 00 80 00 fe 03 00 00 3f 00 fe 00 03 00 81 00 fe 03 00 00 3f 00 fe 00 03 00 82 00 fe 03 00 00 3f 00 fe 00 03 00 05 00 00 00 20 00 00 00 00 00 00 00 00 00 00 00 00 00 0c 00 00 e8 00 00 00 00 0e 00 00 00 01 00 00 00 0f 00 00 00 01 00 70 55 50 00 00 10 00 00
规则: [注册表组]拦截_Explorer -> [注册表]HKEY_LOCAL_MACHINE\HARDWARE*

2017-1-18 10:07:31    创建注册表项 风险级别:中    阻止
进程: c:\documents and settings\administrator\桌面\md终结者.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\nahzberbw
规则: [注册表组]拦截_Drivers\Servieces -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services
左手
发表于 2017-1-18 10:09:30 | 显示全部楼层
好像无事?
没有其它的表现。
lifan88
 楼主| 发表于 2017-1-18 12:11:18 | 显示全部楼层
左手 发表于 2017-1-18 10:08
2017-1-18 10:07:31    修改注册表值 风险级别:未知    阻止
进程: c:\documents and settings\administra ...

不科学啊。。。我的MD都不知道怎么就被直接R3下操作了ntkrnlpa,然后挂了几个钩子,MD就报废了
lifan88
 楼主| 发表于 2017-1-18 12:23:56 | 显示全部楼层
左手 发表于 2017-1-18 10:08
2017-1-18 10:07:31    修改注册表值 风险级别:未知    阻止
进程: c:\documents and settings\administra ...

我测试出来问题所在了。。
2017-1-18 10:07:31    修改注册表值 风险级别:未知    阻止
进程: c:\documents and settings\administrator\桌面\md终结者.exe
目标: HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\Configuration Data
值: ff ff ff ff ff ff ff ff 00 00 00 00 02 00 00 00 05 00 00 00 24 00 00 00 00 00 00 00 00 00 00 00 80 00 fe 03 00 00 3f 00 fe 00 03 00 81 00 fe 03 00 00 3f 00 fe 00 03 00 82 00 fe 03 00 00 3f 00 fe 00 03 00 05 00 00 00 20 00 00 00 00 00 00 00 00 00 00 00 00 00 0c 00 00 e8 00 00 00 00 0e 00 00 00 01 00 00 00 0f 00 00 00 01 00 70 55 50 00 00 10 00 00
规则: [注册表组]拦截_Explorer -> [注册表]HKEY_LOCAL_MACHINE\HARDWARE*

这一步都允许你试试看,有惊喜发生
左手
发表于 2017-1-18 17:40:19 | 显示全部楼层
lifan88 发表于 2017-1-18 12:11
不科学啊。。。我的MD都不知道怎么就被直接R3下操作了ntkrnlpa,然后挂了几个钩子,MD就报废了


先说说看,要不要需要重装系统之类,是敲诈者之类的吗?
我实机哦。。
lifan88
 楼主| 发表于 2017-1-18 19:47:12 | 显示全部楼层
左手 发表于 2017-1-18 17:40
先说说看,要不要需要重装系统之类,是敲诈者之类的吗?
我实机哦。。


不是,在XP下表现为ROOTKIT。
加驱后,SVCHOST.EXE失控,MD出现不稳定。
具体行为为:出现一个未知内核线程,一段时间后消失;SVCHOST.exe自动联网(地址已经失效),并且创建一个0字节的驱动和一个几字节的DAT在drivers目录,真实加载的驱动被特殊保护(和卡巴斯基的TDSS专杀的驱动几乎一模一样),PCHUNTER无法发现其真实驱动文件和地址,以及其注册表,但检查后SSTD表变成两份,MD和PCHUNTER检查内核有挂了两个内核回调,一个内核钩子,MD在检查自启动服务时可以发现高红标示的真实驱动所在位置和注册表。

处理方式:在MD中先回复ntkrnlpa内核钩子(模块貌似是未知,或者是一个数字+字母的驱动),后摘除内核回调,由MD对SVCHOST进程的监控,暂停掉SVCHOST被强制创建的线程,进MD的自启动服务检查,发现高红项驱动项变成了绿色项,删除注册表和文件,重启系统应该没事了

等等凌晨截图给你看看
lifan88
 楼主| 发表于 2017-1-21 15:13:27 | 显示全部楼层
@tg123321 @tg123321
@C-FBI-QM@电脑发烧友
@电脑发烧友@C-FBI-QM

人呢????
tg123321
发表于 2017-1-21 16:16:13 | 显示全部楼层
lifan88 发表于 2017-1-21 15:13
@tg123321 @tg123321
@C-FBI-QM@电脑发烧友
@电脑发烧友@C-FBI-QM

晚上用老电脑实机测md,等着吧
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 晋ICP备20004298号-1 ) GMT+8, 2020-5-26 17:25 , Processed in 0.138975 second(s), 20 queries .

快速回复 返回顶部 返回列表