【老毒坑杀MD系列9】WIN7-32位穿MD的ROOTKIT Avatar(TDSSkiller清除失败)【仅限WIN7】

liulangzhecgr

lifan88 发表于 2017-1-24 12:42
用360急救箱加大蜘蛛可以击杀之

要考360急救箱和大蜘蛛来杀病毒？！ 笑话

其实，我没有真正运行此样本之意，故用基本用户运行样本；
之后嘛,难改习性，改用影子+管理员+特权运行样本，此之前并没有做准备工作，而无法断定病毒所作所为。
不过XT无法加驱，MD发现驱动反常，又没有安装杀软。
呵呵，重做系统或手杀 ，最后采用后者处理系统。

电脑发烧友

liulangzhecgr 发表于 2017-1-26 08:01
要考360急救箱和大蜘蛛来杀病毒？！ 笑话

其实，我没有真正运行此样本之意，故用基本用户运行 ...

敢问大神的手杀过程都有那些，看见开了影子，那么开了影子后有保持影子模式重启过么？

liulangzhecgr

电脑发烧友 发表于 2017-1-26 09:02
敢问大神的手杀过程都有那些，看见开了影子，那么开了影子后有保持影子模式重启过么？

打开开机还原精灵后运行样本，重启系统后，本以为还原成样本运行之前，而并没有多想。
可是打开xt看看，用xt 监察系统时，感觉不对劲，系统驱动好几个都不带数字签名（文件的md5|crc32值被更改）！
真是五里雾中，驱动文件是病毒所谓还是其他原因？！，这是运行样本之前没有充分的准备导致。（禁运党电脑里，没几个文件能运行）
最后pe下还原驱动文件来完成初始化状态（本来重做系统最干净，但这一举动会带来某些不变）。

lifan88

liulangzhecgr 发表于 2017-1-26 09:19
打开开机还原精灵后运行样本，重启系统后，本以为还原成样本运行之前，而并没有多想。
可是打开xt看看， ...

穿了？

liulangzhecgr

lifan88 发表于 2017-1-26 12:25
穿了？

运行样本之前，没有准备好 而无法断定。
但光靠结果而言，是的。

天耀群星

2010/1/1 星期五 03:09:14    修改其他进程的内存 (15)    允许
进程: c:\users\ljx\desktop\666-233.exe
目标: c:\windows\explorer.exe
规则: [应用程序组]COM过滤、dll劫持过滤 三道滤网  ——— ！！25 -> [目标应用程序]c:\windows\*

2010/1/1 星期五 03:09:14    在其他进程中创建线程    允许
进程: c:\users\ljx\desktop\666-233.exe
目标: c:\windows\explorer.exe
规则: [应用程序组]COM过滤、dll劫持过滤 三道滤网  ——— ！！25 -> [目标应用程序]c:\windows\*




2010/1/1 星期五 03:09:51    创建文件    阻止
进程: c:\users\ljx\desktop\666-233.exe
目标: C:\Users\ljx\AppData\Local\Temp\ntkrnlpa.exe
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]所有执行文件 -> [文件]*; *.exe




2010/1/1 星期五 03:10:14    创建文件    允许
进程: c:\users\ljx\desktop\666-233.exe
目标: C:\Users\ljx\AppData\Local\Temp\aeqs.sys
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*

2010/1/1 星期五 03:19:07    安装驱动程序或服务    允许
进程: c:\users\ljx\desktop\666-233.exe
目标: C:\Users\ljx\AppData\Local\Temp\aeqs.sys
规则: [应用程序组]COM过滤、dll劫持过滤 三道滤网  ——— ！！25




2010/1/1 星期五 03:10:34    删除注册表值    允许
进程: c:\users\ljx\desktop\666-233.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [注册表]HKEY_CURRENT_USER*


2010/1/1 星期五 03:10:40    创建新进程    阻止
进程: c:\users\ljx\desktop\666-233.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\Windows\system32\cmd.exe" /c del C:\Users\ljx\Desktop\666-233.exe >> NUL
规则: [应用程序组]高危-《首道滤网》-————优先阻止！！10 -> [子应用程序]*

lifan88

天耀群星 发表于 2017-1-27 14:50
2010/1/1 星期五 03:09:14    修改其他进程的内存 (15)    允许
进程: c:%users\ljx\desktop\666-233.exe
...

我来了，我是很好奇我的WIN7到底是什么漏洞导致的

lifan88

liulangzhecgr 发表于 2017-1-26 15:40
运行样本之前，没有准备好 而无法断定。
但光靠结果而言，是的。

你有时间或者有胆可以再试试，这东西不是BOOTKIT，穿还原就比较。。。

轩夏

MSE 断网
666-233.exe
Suspicious: VirTool:Win32/Obfuscator.AGE [submit_sample]
wauuspi.sys
Infected: Virus:Win32/Alureon.M
yyyc.sys
Infected: Virus:Win32/Alureon.M

lifan88

轩夏 发表于 2017-2-15 16:45
MSE 断网
666-233.exe
Suspicious: VirTool:Win32/Obfuscator.AGE [submit_sample]

在某个网站上看到了，这东西貌似用TDL3源码改的