改主页驱动木马一枚，运行后几乎免疫所有杀软

落华无痕

样本地址：https://pan.baidu.com/s/1IsT-hzbjyMPOCBolUJ8giQ


889hao主页劫持的，64位驱动，vmp加壳了，主程序就这一个驱动文件。看下图，这么实在的木马少见。



实机运行方法，下载解压instdrv附件，下载解压木马样本，修改木马文件名后面加.sys后缀（不要改其他名字，木马数据根据这个文件名修改的）。
右击管理员运行instdrv.exe，选择木马sys，点安装，然后双击木马数据.reg导入注册表，最后instdrv点启动服务。
然后打开ie浏览器，你会发现主页被劫持了，其他浏览器也一样。注册表数据可能包含了劫持的相关资料。

instdrv和木马数据附件：https://pan.baidu.com/s/1JzbB5eyVdZBi51jwzpuTgA

微云：https://share.weiyun.com/5V45bf8

木马运行后，需要重启功能才算完整，重启后免疫大部分杀软。

假如某软件带这个木马，提示你退出杀毒软件才能安装，你以为安装软件，木马运行后你能扫描的到这个木马吗？木马运行后，重启前可能还扫描的到，重启后。。。

不废话，上图。



看，两个位置的木马，桌面的没运行检查到了，drivers目录的压根没看到一样。右击drivers目录扫描，也报告安全。

为了方便虚拟机测试，做了个批处理运行木马病毒。把附件所有文件解压到一个文件夹，然后右击“运行木马.bat”管理员运行。打开ie看看是不是劫持了。
批处理版运行木马：https://pan.baidu.com/s/1yJvIH47oA5aVFYxOkdv5Mg
微云地址的批处理版木马：https://share.weiyun.com/5lE2R5g

批处理版运行不了的，可能之前已经运行过，虚拟机的话要恢复快照才能用。或者PE或急救箱查杀病毒后，管理员运行cmd，输入下面命令删除驱动服务。运行sys文件路径不要有中文，最好全英文。

1. sc delete c29275bfe6

复制代码

实机运行中毒的，请安装微PE到系统上，重启进入PE删除windows\system32\drivers目录的木马，文件名没变。

其他解决办法，看10楼，11楼。

wowocock

这个属于主页保安系列的锁主页驱动，本身比较恶心，保护文件注册表，磁盘。一般动不了他的注册表，也动不了他的文件，对于想磁盘解析操作也做了保护。而且发现一旦绕过他的保护自动重启或关机，主要针对急救箱对抗，因为其他杀软他都可以无视。重启方式包括但不限于IO重启，清空 SYSTEM EPROCESS结构，导致系统随机蓝屏，及调用HalReturnToFirmware强制关机等，而且急救箱一更新，他就更新驱动对抗。相当恶心，建议到WINPE下去查杀。没必要和他斗的天翻地覆了。

kaba666

火绒杀

猥琐大叔

superax

SEP解压直接杀。

吃土豆的小山腰

卡巴扫描 miss

kim545

avira miss

www-tekeze

智量 kill

www-tekeze

wowocock 发表于 2018-12-5 10:51
这个属于主页保安系列的锁主页驱动，本身比较恶心，保护文件注册表，磁盘。一般动不了他的注册表，也动不了 ...

老大，其他杀软都可以无视？ 那这个作者够厉害，找个对手不容易啊。。   否则还不寂寞死了。。。

wowocock

这个毒，中毒后基本可以无视其他所有杀软，唯一能处理他的只有360急救箱，而且天天和我们对抗，基本上让我们一运行就重启或关机，替换急救箱目录下的这个360tdws64.sys然后运行急救箱强力模式扫描即可。