收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 【成为过去的BOOTKIT,扫描无意义】2015年--ROVNIX的终 ...
12345下一页
返回列表 发新帖
楼主: lifan88
 收起左侧

[其他相关] 【成为过去的BOOTKIT,扫描无意义】2015年--ROVNIX的终结,暴力击杀了TDSSKILLER

[复制链接]
pal家族
发表于 2018-1-14 18:18:29 | 显示全部楼层
BE_HC 发表于 2018-1-14 15:57
刚才又去跑了一下,爬个驱动出来,运行后重启反而NPE打得开了好像这玩意反沙盒,在里面只会联网
默认环 ...

file is clean
http://whitelisting.kaspersky.co ... 7c6df22cf2aa13fd352
回复

举报

Jerry.Lin
发表于 2018-1-14 18:28:13 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

BE_HC
发表于 2018-1-14 19:21:29 | 显示全部楼层
lifan88 发表于 2018-1-14 17:15
回答错误,后续版本的ROVNIX都是反虚拟机和沙盘的,基本上这个是个魔改作者放出来的测试版本

那还是丢一份报告走人http://www.antiy.com/response/ROVNIX.html
回复

举报

windows7爱好者
发表于 2018-1-14 19:51:54 | 显示全部楼层
本帖最后由 windows7爱好者 于 2018-1-14 20:40 编辑

测试开始!运行一段时间后,在Roming里拷贝自己,然后进程过一会消失,之后会蓝屏一次


PCH没问题,手头没有PT,不测试了


第一个选手蜘蛛阵亡,第一次能打开,点击扫描后蓝屏,第二次重启后双击就蓝

火绒还是。。。。

只杀了本体和Roming里的东西,剩下啥也没管

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

lifan88
 楼主| 发表于 2018-1-14 22:59:06 | 显示全部楼层
BE_HC 发表于 2018-1-14 15:57
刚才又去跑了一下,爬个驱动出来,运行后重启反而NPE打得开了好像这玩意反沙盒,在里面只会联网
默认环 ...

那个NTFS会导致强制重启,但是不知道还有其他什么操作。。
回复

举报

lifan88
 楼主| 发表于 2018-1-14 23:00:31 | 显示全部楼层
pal家族 发表于 2018-1-14 18:18
file is clean
http://whitelisting.kaspersky.com/advisor#search/2be56b2ed5ba37c6df22cf2aa13fd352

那个东西好像是工具用途,就是第一次蓝屏是由这个东西强制引起的,类似于暴力重启
回复

举报

lifan88
 楼主| 发表于 2018-1-14 23:01:47 | 显示全部楼层
windows7爱好者 发表于 2018-1-14 19:51
测试开始!运行一段时间后,在Roming里拷贝自己,然后进程过一会消失,之后会蓝屏一次

感谢大佬。。。我到现在重置了好几回分区表和MBR,删掉了复制体,仍然无法清除
回复

举报

lifan88
 楼主| 发表于 2018-1-14 23:02:41 | 显示全部楼层
BE_HC 发表于 2018-1-12 21:07
虚拟机环境:64位win7(不知道为啥nc装了64),无杀软,无支持库
----
在虚拟机里跑了下火绒剑

衍生物其实是本体复制
回复

举报

小飞侠.net
发表于 2018-1-15 01:16:24 | 显示全部楼层
火绒安全---( Windows 7 Ultimate with SP1 简体中文旗舰版....):部分未知文件已发送到seclab@huorong.cn,等处理中。。。

病毒库:2018/01/14 15:17
开始时间:2018/01/15 01:14
总计用时:00:00:05
扫描对象:3个
扫描文件:1个
发现风险:1个
已处理风险:0个
发现系统修复项:0个
处理系统修复项:0个

病毒详情

文件名称: C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\d1049482df1d0d0cfe84f00eb710ab14009afb7a1d496ee664b7e24f312805ae.zip
文件大小: 433 KB (444,275 字节)
修改时间: 2018年01月15日,01:14:12
MD5: 7196c96f579604ed102887e855347f85
SHA1: 0f6ab53e03bd4e708f05b8b0419b0092db35d255
SHA256: 700759c553feb2479973b74068c1700ed04a62ddc7da1af573c36b298c08b192
SHA512: c77ae6bd2565ed9fe7dab6120dfb946596d000516f925dcd4211a969444def5a1782f27bcce07ad6b500ab6fd38a30b261635b98a5928a4ed5af8ae19ad23d2f
CRC32: bf020c3b
计算时间: 0.08s



风险路径:C:\Users\xfxnet2000\Desktop\MX Player Pro\175418360\145802370\479704092\AVTest100\d1049482df1d0d0cfe84f00eb710ab14009afb7a1d496ee664b7e24f312805ae.zip >> 2015-rovnix.exe, 病毒名:VirTool/Kovter.p, 病毒ID:[e92bbf97494898d2], 处理结果:已忽略
回复

举报

lifan88
 楼主| 发表于 2018-1-15 12:43:15 | 显示全部楼层
BE_HC 发表于 2018-1-14 19:21
那还是丢一份报告走人http://www.antiy.com/response/ROVNIX.html

我还有后面变种,虚拟机一个都运行不起来,你的报告对应的不是这个样本,应该是我这个的后续变种(5-6月的),这个样本(比较旧,5月的)的报告在这:http://www.malwaredigger.com/2015/05/rovnix-dropper-analysis.html(被墙)
回复

举报

下一页 »
12345下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-4-25 20:59 , Processed in 0.115075 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表