楼主: lifan88
收起左侧

[病毒样本] 【老毒坑杀MD系列9】WIN7-32位穿MD的ROOTKIT Avatar(TDSSkiller清除失败)【仅限WIN7】

[复制链接]
liulangzhecgr
发表于 2017-1-26 08:01:36 | 显示全部楼层
本帖最后由 liulangzhecgr 于 2017-1-26 08:14 编辑
lifan88 发表于 2017-1-24 12:42
用360急救箱加大蜘蛛可以击杀之


要考360急救箱和大蜘蛛来杀病毒?! 笑话

其实,我没有真正运行此样本之意,故用基本用户运行样本;
之后嘛,难改习性,改用影子+管理员+特权运行样本,此之前并没有做准备工作,而无法断定病毒所作所为。
不过XT无法加驱,MD发现驱动反常,又没有安装杀软。
呵呵,重做系统或手杀 ,最后采用后者处理系统。
电脑发烧友
发表于 2017-1-26 09:02:24 | 显示全部楼层
liulangzhecgr 发表于 2017-1-26 08:01
要考360急救箱和大蜘蛛来杀病毒?! 笑话

其实,我没有真正运行此样本之意,故用基本用户运行 ...

敢问大神的手杀过程都有那些,看见开了影子,那么开了影子后有保持影子模式重启过么?
liulangzhecgr
发表于 2017-1-26 09:19:36 | 显示全部楼层
电脑发烧友 发表于 2017-1-26 09:02
敢问大神的手杀过程都有那些,看见开了影子,那么开了影子后有保持影子模式重启过么?

打开开机还原精灵后运行样本,重启系统后,本以为还原成样本运行之前,而并没有多想。
可是打开xt看看,用xt 监察系统时,感觉不对劲,系统驱动好几个都不带数字签名(文件的md5|crc32值被更改)!
真是五里雾中,驱动文件是病毒所谓还是其他原因?!,这是运行样本之前没有充分的准备导致。(禁运党电脑里,没几个文件能运行)
最后pe下还原驱动文件来完成初始化状态(本来重做系统最干净,但这一举动会带来某些不变)。
lifan88
 楼主| 发表于 2017-1-26 12:25:32 | 显示全部楼层
liulangzhecgr 发表于 2017-1-26 09:19
打开开机还原精灵后运行样本,重启系统后,本以为还原成样本运行之前,而并没有多想。
可是打开xt看看, ...

穿了?
liulangzhecgr
发表于 2017-1-26 15:40:47 | 显示全部楼层

运行样本之前,没有准备好 而无法断定。
但光靠结果而言,是的。
天耀群星
头像被屏蔽
发表于 2017-1-27 14:50:35 | 显示全部楼层
本帖最后由 天耀群星 于 2017-1-27 15:02 编辑

2010/1/1 星期五 03:09:14    修改其他进程的内存 (15)    允许
进程: c:\users\ljx\desktop\666-233.exe
目标: c:\windows\explorer.exe
规则: [应用程序组]COM过滤、dll劫持过滤 三道滤网  ——— !!25 -> [目标应用程序]c:\windows\*

2010/1/1 星期五 03:09:14    在其他进程中创建线程    允许
进程: c:\users\ljx\desktop\666-233.exe
目标: c:\windows\explorer.exe
规则: [应用程序组]COM过滤、dll劫持过滤 三道滤网  ——— !!25 -> [目标应用程序]c:\windows\*




2010/1/1 星期五 03:09:51    创建文件    阻止
进程: c:\users\ljx\desktop\666-233.exe
目标: C:\Users\ljx\AppData\Local\Temp\ntkrnlpa.exe
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]所有执行文件 -> [文件]*; *.exe




2010/1/1 星期五 03:10:14    创建文件    允许
进程: c:\users\ljx\desktop\666-233.exe
目标: C:\Users\ljx\AppData\Local\Temp\aeqs.sys
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 星期五 03:19:07    安装驱动程序或服务    允许
进程: c:\users\ljx\desktop\666-233.exe
目标: C:\Users\ljx\AppData\Local\Temp\aeqs.sys
规则: [应用程序组]COM过滤、dll劫持过滤 三道滤网  ——— !!25




2010/1/1 星期五 03:10:34    删除注册表值    允许
进程: c:\users\ljx\desktop\666-233.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [注册表]HKEY_CURRENT_USER*


2010/1/1 星期五 03:10:40    创建新进程    阻止
进程: c:\users\ljx\desktop\666-233.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\Windows\system32\cmd.exe" /c del C:\Users\ljx\Desktop\666-233.exe >> NUL
规则: [应用程序组]高危-《首道滤网》-————优先阻止!!10 -> [子应用程序]*
lifan88
 楼主| 发表于 2017-2-8 17:45:13 | 显示全部楼层
天耀群星 发表于 2017-1-27 14:50
2010/1/1 星期五 03:09:14    修改其他进程的内存 (15)    允许
进程: c:%users\ljx\desktop\666-233.exe
...

我来了,我是很好奇我的WIN7到底是什么漏洞导致的
lifan88
 楼主| 发表于 2017-2-8 17:45:49 | 显示全部楼层
liulangzhecgr 发表于 2017-1-26 15:40
运行样本之前,没有准备好 而无法断定。
但光靠结果而言,是的。

你有时间或者有胆可以再试试,这东西不是BOOTKIT,穿还原就比较。。。
轩夏
发表于 2017-2-15 16:45:27 | 显示全部楼层
MSE 断网
666-233.exe
Suspicious: VirTool:Win32/Obfuscator.AGE [submit_sample]
wauuspi.sys
Infected: Virus:Win32/Alureon.M
yyyc.sys
Infected: Virus:Win32/Alureon.M
lifan88
 楼主| 发表于 2017-2-15 17:30:11 | 显示全部楼层
轩夏 发表于 2017-2-15 16:45
MSE 断网
666-233.exe
Suspicious: VirTool:Win32/Obfuscator.AGE [submit_sample]

在某个网站上看到了,这东西貌似用TDL3源码改的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 02:05 , Processed in 0.098645 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表