楼主: 电脑发烧友
收起左侧

[病毒样本] 多数杀软已跪—化石级牛逼Rootkit

  [复制链接]
pal家族
发表于 2017-2-1 19:33:10 | 显示全部楼层
shulun743 发表于 2017-2-1 19:07
@瑞星工程师     @麦青儿    都看看 , 瑞星 无法处理!!!

。。。。
字数补丁
pal家族
发表于 2017-2-1 19:34:56 | 显示全部楼层
本帖最后由 pal家族 于 2017-2-1 19:36 编辑
lifan88 发表于 2017-2-1 15:31
你确定瑞星能检查出驱动有问题?


我用vt扫描受感染的wdf01000
JM RS KS都是检测不出来的,更何况active disinfect

看RS的报毒,可能RS根本不知道有这个avatar rootkit病毒存在。。。
lifan88
发表于 2017-2-1 20:53:45 | 显示全部楼层
本帖最后由 lifan88 于 2017-2-1 20:58 编辑
pal家族 发表于 2017-2-1 19:34
我用vt扫描受感染的wdf01000
JM RS KS都是检测不出来的,更何况active disinfect


知道的,只知道母体而已,然而知道母体对于已经被感染的机子一点用都没有

以下均为WIN7-32

运行后感染的驱动和内核文件有多达11个(由liulangzhecgr 实机测试,还击穿了还原精灵)(在MD中显示出来的)
以下为被感染文件:
ntkrnlpa.exe
wdf01000.sys
acpi.sys
pci.sys
vdrvroot.sys
nvstor.sys(我好像没有这个)(我是另外一个)
fltmgr.sys
ntfs.sys
ndis.sys
volsnap.sys
fakedisk.sys(我好像不是这个)(我也是另外一个)



下面是我的感染情况

我的感染情况虚拟机测试):
运行后感染,重启恢复的有:
ntkrnlpa.exe
netio.sys(??)
lsi_sas.sys
ksecdd.sys(??)
wmilib.sys(??)
wdfldr.sys(??)
msrpc.sys(??)


(??)表示不知道是什么东西
重启后继续感染的有:
wdf01000.sys
acpi.sys
pci.sys
vdrvroot.sys
fltmgr.sys
ntfs.sys
ndis.sys
volsnap.sys


一次性全部感染文件:
ntkrnlpa.exe
netio.sys(??)
lsi_sas.sys
ksecdd.sys(??)
wmilib.sys(??)
wdfldr.sys(??)
msrpc.sys(??)
wdf01000.sys
acpi.sys
pci.sys
vdrvroot.sys
fltmgr.sys
ntfs.sys
ndis.sys
volsnap.sys

@iduserid  
所以说有些人啊。。。不知道怎么形容
@shulun743


不要抱有侥幸心理
pal家族
发表于 2017-2-1 20:54:57 | 显示全部楼层
lifan88 发表于 2017-2-1 20:53
知道的,只知道母体而已,然而知道母体对于已经被感染的机子一点用都没有

以下均为WIN7-32

我这里测试都只有8个
lifan88
发表于 2017-2-1 20:56:36 | 显示全部楼层
pal家族 发表于 2017-2-1 20:54
我这里测试都只有8个


你看到的是重启后的8个这些:
wdf01000.sys
acpi.sys
pci.sys
vdrvroot.sys
fltmgr.sys
ntfs.sys
ndis.sys
volsnap.sys

其余的全部在重启后回档,目的未知

你重启前用能用的ARK检查
lifan88
发表于 2017-2-1 21:04:35 | 显示全部楼层
pal家族 发表于 2017-2-1 20:54
我这里测试都只有8个

应该注意的是,在感染后别重启去检查你的内核文件ntkrnlpa.exe或者是ntoskrnl.exe(有人是这个)

还有,XP下还感染ntdll.dll
pal家族
发表于 2017-2-1 21:07:18 | 显示全部楼层
lifan88 发表于 2017-2-1 20:56
你看到的是重启后的8个这些:
wdf01000.sys
acpi.sys


哦哦没关注那么多了。

目前卡巴的最终定论应该是唯独wdf01000清掉payload之后数字签名坏掉了。所以tdsskiller二扫报unsigned却不能清除。系统其他未见啥异常。
为什么唯独wdf01000会这样,交由毛子去验证。
还有一个清毒的小bug就是在中文目录下扫描wdf01000会出错,无法清除,但删除可以。(静态扫描)这个问题也已经确认了。

非常感谢各位!
lifan88
发表于 2017-2-1 22:55:50 | 显示全部楼层
pal家族 发表于 2017-2-1 21:07
哦哦没关注那么多了。

目前卡巴的最终定论应该是唯独wdf01000清掉payload之后数字签名坏掉了。所以t ...

有异常貌似
清除到这种情况后:

还是有钩子出现

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
iduserid
发表于 2017-2-1 23:01:09 | 显示全部楼层
lifan88 发表于 2017-2-1 20:53
知道的,只知道母体而已,然而知道母体对于已经被感染的机子一点用都没有

以下均为WIN7-32


你回答得比较详细,(感染文件在SYSTEM32目录吗?)
我那种测试,后来用360常规扫描,4个文件出现在winsxs文件夹,
而且扫描出来的文件是很长的那种文件名,
winsxs文件夹下文件比较复杂,有时也有“死文件”,(如果有些程序不存在了,它的文件就在那,死文件)
所以我不确定,
而且我是用实机测试,当时的系统是舍友的,
以前我帮它安装的电脑管家和SEP,我2个都删除,
直接运行病毒,病毒文件消失后,然后再安装电脑管家扫描的。。。
你也说了一种可能,每次感染,大家情况可能不一样。。
谢谢你的回复,

这个话题,我不想深深摸索下去,不太感兴趣了,过了那个劲,,
就本话题讨论的文件,我有时猜,作者是想做成安全辅助软件?还是做成恶意文件?
感觉是个半成品,试验类产品?(但有一点,干扰安全软件安装)
实际上透露了个信息,三年如果大规模发作,基本安全软件中毒环境下都无法安装,
,,
新年快乐,
pal家族
发表于 2017-2-1 23:06:59 | 显示全部楼层
lifan88 发表于 2017-2-1 22:55
有异常貌似
清除到这种情况后:

感染前没有类似的钩子吗?你这个我倒是没有仔细看。。。不过反正已经交给毛子了。
如果使用KIS清除的(弹出提示时选择使用高级清除),也会有类似情况吗
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 02:12 , Processed in 0.104189 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表