Atbroker漏洞无限次触发 金山毒霸独家防御

qwe12301

后面的故事很有意思啊哈哈

kfne12

ozc 发表于 2018-5-17 09:07
有意思的是，病毒作者亲自到FB上回帖了了，看来这个溯源推断没错

FB的昵称可以随便取的。
你没看到FB上还有很多叫马化腾，马云的

ozc

kfne12 发表于 2018-5-17 10:50
FB的昵称可以随便取的。
你没看到FB上还有很多叫马化腾，马云的

不是叫人名那个ID，是贴了代码的那个

kfne12

ozc 发表于 2018-5-17 18:09
不是叫人名那个ID，是贴了代码的那个

应该是他。小o给力

另外你试过win7吗。我没有win10可以试，我感觉在我的win7上锁屏,UAC,触发的情况好像和你们描述的不太一样。

ozc

kfne12 发表于 2018-5-17 19:17
应该是他。小o给力

另外你试过win7吗。我没有win10可以试，我感觉在我的win7上锁屏,UAC,触发的 ...

试了win 10的话，提到的场景都可以触发。win7的话，我测了两个环境，一个时仅仅开机可以，但锁屏，运行atbroker.exe /start playload 都不行；另一个win7 是可以的，不知道是不是环境问题，导致在哪里作了限制

kfne12

ozc 发表于 2018-5-17 19:50
试了win 10的话，提到的场景都可以触发。win7的话，我测了两个环境，一个时仅仅开机可以，但锁屏，运行at ...

我这里win7

uac，锁屏触发的条件有两种：
一种是winlogon这条线启动的那个test.exe没有退出或者被结束，就可以触发。也就是说账户登录进来后，如果test.exe自己不退出或者不被结束，那么碰到uac，锁屏时就会触发。
或者uac,锁屏时触发启动的test.exe没有结束，也可以触发再次启动。
但是如果test.exe进程全没了，这时候碰到uac，锁屏就不会触发。类似的，
test.exe进程全没了，用explorer启动一个test.exe，碰到uac，锁屏时也不会触发。

第二种就是运行一个微软钦定的程序比如osk.exe。也就是说，test.exe进程全都没了，这时候任意一个程序启动一下osk.exe，并且osk.exe不退出。这时候碰到uac，锁屏，也会触发。

另外。win7下，Configuration不写到user,写到machine下也行。

另外，不用Configuration值，
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\AccessibilityTemp
这个下面也可以启动而且比Configuration效果还好。因为可以一次启动多个。你可以捣鼓捣鼓。。