王境泽病毒

B100D1E55

終極小壞蛋 发表于 2018-8-12 23:19
刚刚有人传了VT，可能是这个原因吧

并不是，ESET云系统不和vt对接，基本只靠他们的livegrid上报系统

終極小壞蛋

B100D1E55 发表于 2018-8-12 23:22
并不是，ESET云系统不和vt对接，基本只靠他们的livegrid上报系统

这样啊……那国产的毒岂不是很难收集到了，毕竟国内的用户数量……

B100D1E55

eset国区用户不算太少，中国客户在eset企业版总客户量中占比还是挺大的。但对于自制毒、伪装外{过}{滤}挂的黑产之类的的确收集上有些死角。。此帖算典型的广度极小的毒，所以云端连信誉都没有

www-tekeze

B100D1E55 发表于 2018-8-12 23:41
eset国区用户不算太少，中国客户在eset企业版总客户量中占比还是挺大的。但对于自制毒、伪装外{过}{滤}挂的 ...

从火绒拦截情况看，释放了两个病毒文件，exe是个普通木马，但sys那个是Rootkit，ESET的动启没检测出来有点尴尬吧。。。数字官人@wowocock 大佬曾说，对付Rootkit类的，国外杀软并不占优势。

B100D1E55

www-tekeze 发表于 2018-8-13 00:15
从火绒拦截情况看，释放了两个病毒文件，exe是个普通木马，但sys那个是Rootkit，ESET的动启没检测出来有 ...

我个人觉得其实这种很多只能靠预先杀，杀不出来的一般后期也只能靠PE急救箱。普通客户端对抗成本太高还会出稳定性问题，内核技术要过硬才敢搞

至于ESET动启没检测出来这背后有很多原因，我就先不说了

www-tekeze

B100D1E55 发表于 2018-8-13 00:21
我个人觉得其实这种很多只能靠预先杀，杀不出来的一般后期也只能靠PE急救箱。普通客户端对抗成本太高还会 ...

未运行前就能识别肯定是最好的，否则往往拦截点靠后，仍然有损失。。。好吧，不多聊了，明天还上班。。

WHALE-FALL

这家伙也太暴力了
动静挺大 https://s.threatbook.cn/report/file/85653ec2eb12583b4f8952166a2b6fb7c46813c9a73c524f803ccc75ad9940e1/?sign=history&env=win7_sp1_enx64_office2013
微步的摘录
行为签名
恶意行为（15）全部展开
缓冲区中发现一个PE文件
可能通过修改硬盘RAW来安装引导型病毒（Bootkit）
修改文件默认的打开程序
将进程的内存属性修改为可执行，可能进行了代码注入
创建一个服务
删除大量的文件
关闭了Windows的任务管理器（taskmgr.exe）功能
将文件属性设置为隐藏
检测是否有调试器运行
尝试去修改桌面墙纸
表示对指定运行的进程感兴趣
释放114未知MIME类型的文件，表示勒索软件正将加密过的文件写会磁盘
扫描Windows任务栏
修改其他进程的内存数据
启动一个进程并注入代码，该程序可能正在脱壳
可疑行为（28）全部展开
发现可能包含注入代码、配置数据或其他潜在威胁的缓冲区
连接到无应答的IP地址
发起了HTTP请求
分配可读写的内存空间，疑似动态生成可执行代码
通过不断的检查顶层窗口是否改来检测操作系统是否存在有真实用户使用过的痕迹
尝试拖慢分析任务的进度
与设备驱动进行通信
创建PAGE_GUARD属性的内存页，通常用于反逆向和反调试
在文件系统上创建可执行文件
创建了一个可执行文件的快捷方式
创建驱动文件
关闭了Windows的注册表编辑器（regedit.exe）功能
释放大量的文件
释放了一个二进制文件并执行
枚举进程或线程
搜索并加载模块资源
获取按键信息
将文件属性设置为删除
修改网络代{过}{滤}理设置
尝试获得具有写入物理驱动器权限的句柄
打开服务控制管理器
这个二进制可能包含被加密或被压缩的数据，可能被加壳
查询驱动器，常用来检测虚拟机
查询敏感的IE安全设置
查询Internet缓存设置（通常用于在index.dat或Internet缓存中隐藏痕迹）
读取软件策略
运行批处理文件
该可执行文件使用UPX进行压缩
正常行为（20）全部展开
读写ini文件
查询计算机名
PE文件的节大小异常
检测是否安装了office软件
在临时目录中创建可写的文件
创建互斥体
样本释放的文件
枚举文件和目录
获取系统信息
初始化COM组件
在文件内存中发现IP地址或url
尝试去查找浏览器的安装位置
查询系统内存大小，某些恶意程序会根据内存大小来判定是否运行在虚拟机中
PE文件具有大小为0的节
打开文件并赋予可删除的访问权限
打开Windows的内核安全设备驱动程序（KsecDD）
该可执行文件使用了已经公开的软件保护壳
查询系统用户名
读取计算机名称
使用Windows的加密API

c/mm

Dr.WEB实机测试 扫描MISS 双击拦截部分 但还是悲催的被替换关联文件  大部分系统关联程序无法运行 破坏系统文件   禁止用户使用任务管理器 结束进程  禁止用户访问注册表等，无限CMD.EXE弹窗 更改鼠标样式  %windows%下生成隐藏木马EXE文件并且有加驱服务随机生成SYS文件！

Preventive Protection event: Modify protected disk sectors
id: 7172, timestamp: 01:00:09.690, type: FileVolWrite (1), flags: 1 (wait: 1)
sid: S-1-5-21-839627113-1048685324-2973982688-1001, cid: 11528/7972:\Device\HarddiskVolume3\Users\cb8217\Desktop\123\王境泽病毒.exe
context: start addr: 0x1206040, image: 0x400000:\Device\HarddiskVolume3\Users\cb8217\Desktop\123\王境泽病毒.exe
  hips: type: 2, action: deny [5]
  type: 0, new: 1, cmd: "C:\Users\cb8217\Desktop\123\王境泽病毒.exe"
  fileinfo: size: 12213248, easize: 40, attr: 0x20, buildtime: 12.08.2018 21:09:42.000, ctime: 12.08.2018 23:52:25.687, atime: 13.08.2018 00:59:58.986, mtime: 12.08.2018 21:09:44.000, descr: 真香！, ver: 1.0.0.0, company: CHN星空 QQ2970427073, oname:
  hash: d4717ec67b2744f1fb2377edf0f7a044129dfe62 status: unsigned, pe32, new_pe / unsigned / unknown / unknown
  object: \Device\Harddisk0\DR0
  area: Protective MBR [5], offset: 0x0, size: 512

\Device\HarddiskVolume3\Users\cb8217\Desktop\123\王境泽病毒.exe-11528!\Device\Harddisk0\DR0/Protective MBR ==> Ok
send user blocked alert
id: 7172 ==> denied [5], time: 20.872792 ms


Preventive Protection event: Change protected value
id: 8291, timestamp: 01:00:27.645, type: RegSetValue (14), flags: 1 (wait: 1)
sid: S-1-5-21-839627113-1048685324-2973982688-1001, cid: 10436/10480:\Device\HarddiskVolume3\Windows\3.exe
context: start addr: 0x4dd3e0, image: 0x400000:\Device\HarddiskVolume3\Windows\3.exe
  hips: type: 9, action: deny [5]
  cmd: "C:\Windows\3.exe"
  fileinfo: size: 344064, easize: 40, attr: 0x2, buildtime: 12.08.2018 21:04:31.000, ctime: 13.08.2018 01:00:21.299, atime: 13.08.2018 01:00:23.456, mtime: 13.08.2018 01:00:21.299, descr: 真香！, ver: 1.0.0.0, company: CHN星空 QQ2970427073, oname:
  hash: b53dd07d87c32f091e66b51d13c21f7dc4238c43 status: unsigned, pe32, new_pe / unsigned / unknown / unknown
  key: \REGISTRY\MACHINE\SOFTWARE\Classes\.exe, access: 0x0
  value: , type: sz
current content:
00000000: 65 00 78 00 65 00 66 00 69 00 6c 00 65 00 00 00 e.x.e.f.i.l.e...
new content:
00000000: 65 00 78 00 65 00 00 00                         e.x.e...
send user blocked alert
id: 8291 ==> denied [5], time: 0.362690 ms


Preventive Protection event: Change protected value
id: 8303, timestamp: 01:00:27.655, type: RegSetValue (14), flags: 1 (wait: 1)
sid: S-1-5-21-839627113-1048685324-2973982688-1001, cid: 10436/10480:\Device\HarddiskVolume3\Windows\3.exe
context: start addr: 0x4dd3e0, image: 0x400000:\Device\HarddiskVolume3\Windows\3.exe
  hips: type: 9, action: deny [5]
  cmd: "C:\Windows\3.exe"
  fileinfo: size: 344064, easize: 40, attr: 0x2, buildtime: 12.08.2018 21:04:31.000, ctime: 13.08.2018 01:00:21.299, atime: 13.08.2018 01:00:23.456, mtime: 13.08.2018 01:00:21.299, descr: 真香！, ver: 1.0.0.0, company: CHN星空 QQ2970427073, oname:
  hash: b53dd07d87c32f091e66b51d13c21f7dc4238c43 status: unsigned, pe32, new_pe / unsigned / unknown / unknown
  key: \REGISTRY\MACHINE\SOFTWARE\Classes\.bat, access: 0x0
  value: , type: sz
current content:
00000000: 62 00 61 00 74 00 66 00 69 00 6c 00 65 00 00 00 b.a.t.f.i.l.e...
new content:
00000000: 62 00 61 00 74 00 00 00                         b.a.t...
send user blocked alert
id: 8303 ==> denied [5], time: 0.312300 ms

服务已安装在系统中。
服务名称: hyf55
服务文件名: C:\Users\cb8217\AppData\Local\Temp\RD5D39O.sys
服务类型: 内核模式驱动程序
服务启动类型: 按需启动
服务帐户:
服务已安装在系统中。
服务名称: hyf55
服务文件名: C:\Users\cb8217\AppData\Local\Temp\l49M87Y.sys
服务类型: 内核模式驱动程序
服务启动类型: 按需启动
服务帐户:

DrWeb ARKApi: Neutralized object: \device\harddiskvolume3\users\cb8217\appdata\local\temp\l49m87y.sys - deleted [threat name: {Trojan.Rootkit.22030:1}, action: 2, type: 0, ret: 8]

DrWeb ARKApi: cure service: name = \Registry\Machine\System\ControlSet001\Services\hyf55, status 0x0

DrWeb ARKApi: cure service: name = \Registry\Machine\System\ControlSet001\Services\hyf55, status 0x0

DrWeb ARKApi: Neutralized object: \device\harddiskvolume3\users\cb8217\appdata\local\temp\rd5d39o.sys - deleted [threat name: {Trojan.Rootkit.22030:1}, action: 2, type: 0, ret: 8]


隐藏的可疑木马：待会上传

c/mm

隐藏文件virus

各部分系统修复完成

Jirehlov1234

BD

ATD击杀（malicious behavior）