【成为过去的BOOTKIT，扫描无意义】2015年--ROVNIX的终结，暴力击杀了TDSSKILLER

lifan88

最末一代，只能兼容到WIN7-64，应该还是因为Carberp Bootkit源码泄露魔改出来的，于2015年到可收集的末代了，可以干扰反ROOTKIT工具的使用，虚拟机WIN7-32位下破坏了MD,TDSSKILLER,POWERTOOL，还有还干扰了GMER的扫描导致蓝屏。。。

喜欢虐待虚拟机的同学可以下去试试看，好玩

请勿实机运行，请勿扫描报结果，2年前的东西扫描没任何意义，推荐虚拟机测试玩玩，试试反ROOTKIT的表现或者主动防御的拦截效果看个开心，就这样

windows7爱好者

测试开始！运行一段时间后，在Roming里拷贝自己，然后进程过一会消失，之后会蓝屏一次


PCH没问题，手头没有PT，不测试了


第一个选手蜘蛛阵亡，第一次能打开，点击扫描后蓝屏，第二次重启后双击就蓝

火绒还是。。。。

只杀了本体和Roming里的东西，剩下啥也没管

lifan88

@电脑发烧友 @windows7爱好者

cocomail

实机，虚拟机都试了
在MD保护下一切安好

我爱舒肤佳

Tencent Kill

lifan88

cocomail 发表于 2018-1-12 20:20
实机，虚拟机都试了
在MD保护下一切安好

我就是用MD的。。。必须啦。。过MD的就很少

BE_HC

虚拟机环境：64位win7（不知道为啥nc装了64），无杀软，无支持库
----
在虚拟机里跑了下火绒剑
第一次在沙盒里面跑,和沙箱对缸。

1. [list]
   
2. 20:40:21:530,        2015-rovnix.exe,        1104:1920,        1104,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\SbieSvc,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],        
   
3. 20:40:21:530,        2015-rovnix.exe,        1104:1920,        1104,        REG_openkey,        HKEY_USERS\Sandbox_Administrator_DefaultBox\machine\system\CurrentControlSet\services\SbieSvc,        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],        
   
4. 20:40:23:534,        2015-rovnix.exe,        1104:1920,        1104,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SbieSvc,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接，所以需由对象管理器重新运行分析操作。  ],        
   
5. 20:40:23:534,        2015-rovnix.exe,        1104:1920,        1104,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SbieSvc,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],        
   
6. 20:40:23:534,        2015-rovnix.exe,        1104:1920,        1104,        REG_openkey,        HKEY_USERS\Sandbox_Administrator_DefaultBox\machine\system\CurrentControlSet\services,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],        
   
7. 20:40:23:534,        2015-rovnix.exe,        1104:1920,        1104,        REG_openkey,        HKEY_USERS\Sandbox_Administrator_DefaultBox\machine\system\CurrentControlSet\services\SbieSvc,        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],        
   
8. 20:40:23:534,        2015-rovnix.exe,        1104:1920,        1104,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\SbieSvc,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],        
   
9. 20:40:23:534,        2015-rovnix.exe,        1104:1920,        1104,        REG_openkey,        HKEY_USERS\Sandbox_Administrator_DefaultBox\machine\system\CurrentControlSet\services\SbieSvc,        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],        
   
10. 20:40:25:534,        2015-rovnix.exe,        1104:1920,        1104,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SbieSvc,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接，所以需由对象管理器重新运行分析操作。  ],        
    
11. 20:40:25:534,        2015-rovnix.exe,        1104:1920,        1104,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\SbieSvc,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],        
    
12. 20:40:25:534,        2015-rovnix.exe,        1104:1920,        1104,        REG_openkey,        HKEY_USERS\Sandbox_Administrator_DefaultBox\machine\system\CurrentControlSet\services,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],        
    
13. 20:40:25:534,        2015-rovnix.exe,        1104:1920,        1104,        REG_openkey,        HKEY_USERS\Sandbox_Administrator_DefaultBox\machine\system\CurrentControlSet\services\SbieSvc,        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],        
    
14. 20:40:25:534,        2015-rovnix.exe,        1104:1920,        1104,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\SbieSvc,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],        
    
15. 20:40:25:534,        2015-rovnix.exe,        1104:1920,        1104,        REG_openkey,        HKEY_USERS\Sandbox_Administrator_DefaultBox\machine\system\CurrentControlSet\services\SbieSvc,        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],        
    
16. 20:40:26:004,        2015-rovnix.exe,        1104:0,        1104,        EXEC_destroy,        C:\Users\Administrator\Desktop\2015-rovnix.exe,        parent_pid:1160 cmdline:'"C:\Users\Administrator\Desktop\2015-rovnix.exe" ' ,        0x00000000 [操作成功完成。  ],
    
17. [/list]        

复制代码

----
然后不放沙箱，自己跑
看到一堆读系统进程的操作，svchost自然又遭殃233
结果很多软件都打不开
访问这个IP，感觉被墙了
20:45:44:347,        2015-rovnix.exe,        2260:2760,        2260,        NET_connect,        221.179.46.194:80,        protocol:(TCP)0 ,        0x00000000 [操作成功完成。  ],
----
衍生物（密码123）----
有关资料？
eset：http://w ww.virusradar.com/en/Win32_Kovter/detail
Symantec：https://w ww.symantec.com/security_response/writeup.jsp?docid=2014-040111-0605-99

Jerry.Lin

lifan88

BE_HC 发表于 2018-1-12 21:07
虚拟机环境：64位win7（不知道为啥nc装了64），无杀软，无支持库
----
在虚拟机里跑了下火绒剑

他把我TDSSKILLER给灭了，最新版也是，只有PCHUNTER和GMER能打开，打开后扫描到一半死机蓝屏，用PCH看钩子只有SCSI挂了一个，恢复后还是没法打开，恢复内核钩子也没用。。。

Jerry.Lin

BE_HC 发表于 2018-1-12 21:07
虚拟机环境：64位win7（不知道为啥nc装了64），无杀软，无支持库
----
在虚拟机里跑了下火绒剑

BE_HC

lifan88 发表于 2018-1-12 22:07
他把我TDSSKILLER给灭了，最新版也是，只有PCHUNTER和GMER能打开，打开后扫描到一半死机蓝屏，用PCH看钩 ...

表示PCHunter也能打开，然后想用NPE来试一试，但也是打不开