楼主: 电脑发烧友
收起左侧

[病毒样本] 多数杀软已跪—化石级牛逼Rootkit

  [复制链接]
windows7爱好者
发表于 2017-1-26 17:39:11 | 显示全部楼层
更新malwarebytes
测试结果:安装后监控和扫描都无法发现ROOTKIT
                 重启后继续扫描,仍然无法发现,右键扫描system32,无法发现,失败








本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
shulun743
发表于 2017-1-27 12:48:54 | 显示全部楼层
瑞星 云终端 成功清除 , 但是 联盟版 失败了
电脑发烧友
 楼主| 发表于 2017-1-27 13:00:56 | 显示全部楼层
本帖最后由 电脑发烧友 于 2017-1-27 13:18 编辑
shulun743 发表于 2017-1-27 12:48
瑞星 云终端 成功清除 , 但是 联盟版 失败了


你的意思是说,染毒后修复所有受感染驱动,还是扫描后修复?截图看看。
pal家族
发表于 2017-1-27 13:24:01 | 显示全部楼层
诶。。

@windows7爱好者 可以在测试下卡巴吗?还是升级之后重启再测试、、、、
我这里静态扫描复现不出来问题了,文件被修复了
电脑发烧友
 楼主| 发表于 2017-1-27 13:38:38 | 显示全部楼层
本帖最后由 电脑发烧友 于 2017-1-27 14:07 编辑
shulun743 发表于 2017-1-27 12:48
瑞星 云终端 成功清除 , 但是 联盟版 失败了

如果你说的完美清除是只染毒后对病毒驱动的清除,那么我这里的测试结果和你大相径庭,如果可以请把你那里的图贴过来,不然没有说服力。

测试环境 VM虚拟机 win7 *32

瑞星安全云终端,染毒后测试

一共杀了10个,然而



把我的工具杀了不少,病毒驱动依旧没有扫描出来(全盘查杀)

数字急救箱在瑞星扫完后扫描

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
天耀群星
头像被屏蔽
发表于 2017-1-27 14:19:22 | 显示全部楼层
2010/1/1 星期五 02:39:20    创建文件    阻止
进程: c:\users\ljx\desktop\rootkit avatar\666-233.exe
目标: C:\Users\ljx\AppData\Local\Temp\ntkrnlpa.exe
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]所有执行文件 -> [文件]*; *.exe

2010/1/1 星期五 02:41:38    修改其他进程的内存    阻止
进程: c:\users\ljx\desktop\rootkit avatar\666-233.exe
目标: c:\windows\explorer.exe
规则: [应用程序组]COM过滤、dll劫持过滤 三道滤网  ——— !!25 -> [目标应用程序]c:\windows\*

2010/1/1 星期五 02:41:38    在其他进程中创建线程    阻止
进程: c:\users\ljx\desktop\rootkit avatar\666-233.exe
目标: c:\windows\explorer.exe
规则: [应用程序组]COM过滤、dll劫持过滤 三道滤网  ——— !!25 -> [目标应用程序]c:\windows\*


电脑发烧友
 楼主| 发表于 2017-1-27 14:29:53 | 显示全部楼层
本帖最后由 电脑发烧友 于 2017-1-27 15:07 编辑
天耀群星 发表于 2017-1-27 14:19
2010/1/1 星期五 02:39:20    创建文件    阻止
进程: c:%users\ljx\desktop\rootkit avatar\666-233.exe
...


建议按照原帖中的方法尝试,看看是否可以击穿MD

【老毒坑杀MD系列9】WIN7-32位穿MD的ROOTKIT Avatar(TDSSkiller清除失败)【仅限WIN7】_安全工具区_安全区 卡饭论坛 - 互助分享 - 大气谦和!
http://bbs.kafan.cn/thread-2074479-1-1.html

@lifan88  238L,我好想没有说清,你来说一下 @lifan88
天耀群星
头像被屏蔽
发表于 2017-1-27 14:49:49 | 显示全部楼层
电脑发烧友 发表于 2017-1-27 14:29
建议按照原帖中的方法尝试,看看是否可以击穿MD

【老毒坑杀MD系列9】WIN7-32位穿MD的ROOTKIT Avatar ...



2010/1/1 星期五 03:09:14    修改其他进程的内存 (15)    允许
进程: c:\users\ljx\desktop\666-233.exe
目标: c:\windows\explorer.exe
规则: [应用程序组]COM过滤、dll劫持过滤 三道滤网  ——— !!25 -> [目标应用程序]c:\windows\*

2010/1/1 星期五 03:09:14    在其他进程中创建线程    允许
进程: c:\users\ljx\desktop\666-233.exe
目标: c:\windows\explorer.exe
规则: [应用程序组]COM过滤、dll劫持过滤 三道滤网  ——— !!25 -> [目标应用程序]c:\windows\*




2010/1/1 星期五 03:09:51    创建文件    阻止
进程: c:\users\ljx\desktop\666-233.exe
目标: C:\Users\ljx\AppData\Local\Temp\ntkrnlpa.exe
规则: [应用程序组]垃圾屏蔽 35 -> [文件组]所有执行文件 -> [文件]*; *.exe




2010/1/1 星期五 03:10:14    创建文件    阻止
进程: c:\users\ljx\desktop\666-233.exe
目标: C:\Users\ljx\AppData\Local\Temp\qxxftwqy.sys
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [文件]c:\*


2010/1/1 星期五 03:10:28    修改其他进程的内存    允许
进程: c:\windows\system32\csrss.exe
目标: c:\users\ljx\desktop\666-233.exe
规则: [应用程序]c:\windows\system32\csrss.exe

2010/1/1 星期五 03:10:34    删除注册表值    允许
进程: c:\users\ljx\desktop\666-233.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass
规则: [应用程序组]待测试组-未知程序 ??? 37 -> [注册表]HKEY_CURRENT_USER*


2010/1/1 星期五 03:10:40    创建新进程    阻止
进程: c:\users\ljx\desktop\666-233.exe
目标: c:\windows\system32\cmd.exe
命令行: "C:\Windows\system32\cmd.exe" /c del C:\Users\ljx\Desktop\666-233.exe >> NUL
规则: [应用程序组]高危-《首道滤网》-————优先阻止!!10 -> [子应用程序]*
windows7爱好者
发表于 2017-1-27 15:33:06 | 显示全部楼层
pal家族 发表于 2017-1-27 13:24
诶。。

@windows7爱好者 可以在测试下卡巴吗?还是升级之后重启再测试、、、、

稍等,马上测试,先更新一波MB反ROOTKIT工具测试
下来卡巴
pal家族
发表于 2017-1-27 15:35:05 | 显示全部楼层
windows7爱好者 发表于 2017-1-27 15:33
稍等,马上测试,先更新一波MB反ROOTKIT工具测试
下来卡巴

不不不不不用测试了。。。。。。我刚才没有搞清楚情况
问题还是有的。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-27 00:35 , Processed in 0.089302 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表