【老毒坑杀MD系列9】WIN7-32位穿MD的ROOTKIT Avatar(TDSSkiller清除失败)【仅限WIN7】

lifan88

BE_HC 发表于 2017-1-24 08:46
[mw_shl_code=css,true]Application activity        创建进程        2017/1/24 上午 08:42:41        C:\Documents and Setting ...

怎么分析出来驱动的功能的

BE_HC

lifan88 发表于 2017-1-24 12:39
XP下实机才有动作，虚拟机XP有动作但是重启自杀

表示加了几行神奇的代码

BE_HC

lifan88 发表于 2017-1-24 13:02
怎么分析出来驱动的功能的

我看每次加驱（在XP下）都是在\Local Settings\Temp

lifan88

BE_HC 发表于 2017-1-24 16:36
我看每次加驱（在XP下）都是在\Local Settings\Temp

你可以检查一下那个在TEMP下的驱动，很神奇，和随机某个SYS一个模版

BE_HC

在Win7 32位下 跑了吼久的GMER（看其他都炸了）（顺便附上）
修复了第一个
然后蓝屏内存报错（附上dmp）
然后PCHunter成功打开
其他大佬可以试试啊

tg123321

xp实机测了下
2017-1-24 19:40:41    创建新进程    允许
进程: c:\windows\explorer.exe
目标: f:\virustest\rootkit avatar\666-233.exe
命令行: "F:\virustest\ROOTKIT Avatar\666-233.exe"
规则: [应用程序]c:\windows\explorer.exe -> [子应用程序]?:\*.*

2017-1-24 19:40:41    加载动态链接库    允许
进程: f:\virustest\rootkit avatar\666-233.exe
目标: c:\windows\system32\imm32.dll
规则: [应用程序组]● 行为测试规则

2017-1-24 19:40:41    加载动态链接库    允许
进程: f:\virustest\rootkit avatar\666-233.exe
目标: c:\windows\system32\lpk.dll
规则: [应用程序组]● 行为测试规则

2017-1-24 19:40:41    加载动态链接库    允许
进程: f:\virustest\rootkit avatar\666-233.exe
目标: c:\windows\system32\usp10.dll
规则: [应用程序组]● 行为测试规则

2017-1-24 19:40:41    加载动态链接库    允许
进程: f:\virustest\rootkit avatar\666-233.exe
目标: c:\windows\winsxs\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
规则: [应用程序组]● 行为测试规则

2017-1-24 19:40:41    加载动态链接库    允许
进程: f:\virustest\rootkit avatar\666-233.exe
目标: c:\windows\system32\ws2_32.dll
规则: [应用程序组]● 行为测试规则

2017-1-24 19:40:41    加载动态链接库    允许
进程: f:\virustest\rootkit avatar\666-233.exe
目标: c:\windows\system32\ws2help.dll
规则: [应用程序组]● 行为测试规则

2017-1-24 19:40:41    加载动态链接库    允许
进程: f:\virustest\rootkit avatar\666-233.exe
目标: c:\windows\system32\hal.dll
规则: [应用程序组]● 行为测试规则

2017-1-24 19:40:50    创建文件    阻止
进程: f:\virustest\rootkit avatar\666-233.exe
目标: C:\Documents and Settings\TerryTian\Local Settings\Temp\jsttqfw.sys
规则: [应用程序组]● 行为测试规则 -> [文件组]■ 所有执行文件（阻止） -> [文件]*; *.sys

2017-1-24 19:41:31    修改其他进程的内存 (7)    阻止
进程: f:\virustest\rootkit avatar\666-233.exe
目标: c:\windows\explorer.exe
规则: [应用程序组]● 行为测试规则

lifan88

tg123321 发表于 2017-1-24 19:45
xp实机测了下
2017-1-24 19:40:41    创建新进程    允许
进程: c:\windows\explorer.exe

你都没让创建驱动。。。实机还是别加驱了，处理起来很危险

lifan88

BE_HC 发表于 2017-1-24 17:33
在Win7 32位下 跑了吼久的GMER（看其他都炸了）（顺便附上）
修复了第一个
然后蓝屏内存报错（附上dmp）
...

但是就算是PCH好了，面对那么多被改掉的东西，一大片的红和蓝也处理不了。。。

还有，PCH能运行并不一定能正常使用

BE_HC

lifan88 发表于 2017-1-25 01:15
但是就算是PCH好了，面对那么多被改掉的东西，一大片的红和蓝也处理不了。。。

还有，PCH能运行并不一 ...

忘记把这贴改了，我这虚拟机很厉害，双击病毒后是打不开PCHunter，重启后可以打开

lifan88

BE_HC 发表于 2017-1-25 08:16
忘记把这贴改了，我这虚拟机很厉害，双击病毒后是打不开PCHunter，重启后可以打开

看来每个系统每种情况啊