多数杀软已跪—化石级牛逼Rootkit

显示全部楼层 · 发表于 2017-2-1 19:33:10

shulun743 发表于 2017-2-1 19:07
@瑞星工程师 @麦青儿都看看，瑞星无法处理！！！

。。。。
字数补丁

显示全部楼层 · 发表于 2017-2-1 19:34:56

本帖最后由 pal家族于 2017-2-1 19:36 编辑

lifan88 发表于 2017-2-1 15:31
你确定瑞星能检查出驱动有问题？

我用vt扫描受感染的wdf01000
JM RS KS都是检测不出来的，更何况active disinfect

看RS的报毒，可能RS根本不知道有这个avatar rootkit病毒存在。。。

显示全部楼层 · 发表于 2017-2-1 20:53:45

本帖最后由 lifan88 于 2017-2-1 20:58 编辑

pal家族发表于 2017-2-1 19:34
我用vt扫描受感染的wdf01000
JM RS KS都是检测不出来的，更何况active disinfect

知道的，只知道母体而已，然而知道母体对于已经被感染的机子一点用都没有

以下均为WIN7-32

运行后感染的驱动和内核文件有多达11个（由liulangzhecgr 实机测试，还击穿了还原精灵）（在MD中显示出来的）
以下为被感染文件：
ntkrnlpa.exe
wdf01000.sys
acpi.sys
pci.sys
vdrvroot.sys
nvstor.sys(我好像没有这个)（我是另外一个）
fltmgr.sys
ntfs.sys
ndis.sys
volsnap.sys
fakedisk.sys(我好像不是这个)（我也是另外一个）

下面是我的感染情况

我的感染情况（虚拟机测试）：
运行后感染，重启恢复的有：
ntkrnlpa.exe
netio.sys（？？）
lsi_sas.sys
ksecdd.sys（？？）
wmilib.sys（？？）
wdfldr.sys（？？）
msrpc.sys(??)

（？？）表示不知道是什么东西
重启后继续感染的有：
wdf01000.sys
acpi.sys
pci.sys
vdrvroot.sys
fltmgr.sys
ntfs.sys
ndis.sys
volsnap.sys

一次性全部感染文件：
ntkrnlpa.exe
netio.sys（？？）
lsi_sas.sys
ksecdd.sys（？？）
wmilib.sys（？？）
wdfldr.sys（？？）
msrpc.sys(??)
wdf01000.sys
acpi.sys
pci.sys
vdrvroot.sys
fltmgr.sys
ntfs.sys
ndis.sys
volsnap.sys

@iduserid
所以说有些人啊。。。不知道怎么形容
@shulun743

不要抱有侥幸心理

显示全部楼层 · 发表于 2017-2-1 20:54:57

lifan88 发表于 2017-2-1 20:53
知道的，只知道母体而已，然而知道母体对于已经被感染的机子一点用都没有

以下均为WIN7-32

我这里测试都只有8个

显示全部楼层 · 发表于 2017-2-1 20:56:36

pal家族发表于 2017-2-1 20:54
我这里测试都只有8个

你看到的是重启后的8个这些：
wdf01000.sys
acpi.sys
pci.sys
vdrvroot.sys
fltmgr.sys
ntfs.sys
ndis.sys
volsnap.sys

其余的全部在重启后回档，目的未知

你重启前用能用的ARK检查

显示全部楼层 · 发表于 2017-2-1 21:04:35

pal家族发表于 2017-2-1 20:54
我这里测试都只有8个

应该注意的是，在感染后别重启去检查你的内核文件ntkrnlpa.exe或者是ntoskrnl.exe(有人是这个)

还有，XP下还感染ntdll.dll

显示全部楼层 · 发表于 2017-2-1 21:07:18

lifan88 发表于 2017-2-1 20:56
你看到的是重启后的8个这些：
wdf01000.sys
acpi.sys

哦哦没关注那么多了。

目前卡巴的最终定论应该是唯独wdf01000清掉payload之后数字签名坏掉了。所以tdsskiller二扫报unsigned却不能清除。系统其他未见啥异常。
为什么唯独wdf01000会这样，交由毛子去验证。
还有一个清毒的小bug就是在中文目录下扫描wdf01000会出错，无法清除，但删除可以。（静态扫描）这个问题也已经确认了。

非常感谢各位！

显示全部楼层 · 发表于 2017-2-1 22:55:50

pal家族发表于 2017-2-1 21:07
哦哦没关注那么多了。

目前卡巴的最终定论应该是唯独wdf01000清掉payload之后数字签名坏掉了。所以t ...

有异常貌似

清除到这种情况后：

还是有钩子出现

显示全部楼层 · 发表于 2017-2-1 23:01:09

lifan88 发表于 2017-2-1 20:53
知道的，只知道母体而已，然而知道母体对于已经被感染的机子一点用都没有

以下均为WIN7-32

你回答得比较详细，（感染文件在SYSTEM32目录吗？）
我那种测试，后来用360常规扫描，4个文件出现在winsxs文件夹，
而且扫描出来的文件是很长的那种文件名，
winsxs文件夹下文件比较复杂，有时也有“死文件”，（如果有些程序不存在了，它的文件就在那，死文件）
所以我不确定，
而且我是用实机测试，当时的系统是舍友的，
以前我帮它安装的电脑管家和SEP，我2个都删除，
直接运行病毒，病毒文件消失后，然后再安装电脑管家扫描的。。。
你也说了一种可能，每次感染，大家情况可能不一样。。
谢谢你的回复，

这个话题，我不想深深摸索下去，不太感兴趣了，过了那个劲，，
就本话题讨论的文件，我有时猜，作者是想做成安全辅助软件？还是做成恶意文件？
感觉是个半成品，试验类产品？（但有一点，干扰安全软件安装）
实际上透露了个信息，三年如果大规模发作，基本安全软件中毒环境下都无法安装，
，，
新年快乐，

显示全部楼层 · 发表于 2017-2-1 23:06:59

lifan88 发表于 2017-2-1 22:55
有异常貌似
清除到这种情况后：

感染前没有类似的钩子吗？你这个我倒是没有仔细看。。。不过反正已经交给毛子了。
如果使用KIS清除的（弹出提示时选择使用高级清除），也会有类似情况吗

[病毒样本] 多数杀软已跪—化石级牛逼Rootkit

本帖子中包含更多资源