改主页驱动木马一枚，运行后几乎免疫所有杀软

显示全部楼层 · 发表于 2018-12-5 15:45:32

本帖最后由 www-tekeze 于 2018-12-5 15:51 编辑

wowocock 发表于 2018-12-5 15:42
这是64位驱动，所以在32位下是无法加载测试的，这驱动比较新是2018年12月3号21：56：42编译的，我们还没 ...

明白了，原来是64位的。。

前晚才出来，虽然火绒扫描杀，但中毒后估计也没辙。

显示全部楼层 · 发表于 2018-12-5 15:48:49

wowocock 发表于 2018-12-5 15:42
这是64位驱动，所以在32位下是无法加载测试的，这驱动比较新是2018年12月3号21：56：42编译的，我们还没 ...

这作者也是执着啊，，，汗

显示全部楼层 · 发表于 2018-12-5 15:50:27

www-tekeze 发表于 2018-12-5 15:43
呵呵，我就说没你讲的那么简单。。。
火绒搞不定？专杀工具呢？另外你虚拟机里装有卡巴么，都试试啊。 ...

估计都不行，因为他用了比较猥琐的方法，目前没有公开的解决方案，我们也是采用了比较猥琐的方法去处理他，不过导致他们对急救箱下死手，一运行就让系统关机重启。搞的很麻烦。天天升级对抗，估计其他杀软都没那么好的耐心，基本都是建议PE查杀了。

显示全部楼层 · 发表于 2018-12-5 15:53:14

wowocock 发表于 2018-12-5 15:50
估计都不行，因为他用了比较猥琐的方法，目前没有公开的解决方案，我们也是采用了比较猥琐的方法去处理他 ...

明白，感谢解答。。

显示全部楼层 · 发表于 2018-12-5 16:12:08

kaba666 发表于 2018-12-5 15:34
这个驱动病毒终于在我的虚拟机实现了！但是没改到我的主页！我在试图删掉这个驱动的时候问题来了！尼玛~一 ...

你这是删除了acpi.sys了吧？

木马程序只有一个，就是那个c29275bfe6.sys

显示全部楼层 · 发表于 2018-12-5 16:22:43

wowocock 发表于 2018-12-5 15:36
他有很多保护机制，整不好很容易挂掉。所以按常规操作。
1，用前面网盘文件，替换急救箱FIX目录下的360t ...

我正在重建虚拟机！

显示全部楼层 · 发表于 2018-12-5 16:29:52

www-tekeze 发表于 2018-12-5 15:43
呵呵，我就说没你讲的那么简单。。。
火绒搞不定？专杀工具呢？另外你虚拟机里装有卡巴么，都试试啊。 ...

卡巴批反应没有！我用windows清理助手扫描，扫描到了那个驱动，卡巴马上反应到库文件里有个病毒，没看是什么病毒，不知道是不是这个病毒创建的，卡巴杀了！然后助手提示已锁定那个驱动但是要重启删除，结果重启，哦豁~关机了，再开机，进不了系统了，系统提示修复，修复也修复不了！尼玛~算了！重建虚拟机！

显示全部楼层 · 发表于 2018-12-5 16:31:31

落华无痕发表于 2018-12-5 16:12
你这是删除了acpi.sys了吧？
木马程序只有一个，就是那个c29275bfe6.sys

不是！助手扫描到就是那个c29那个驱动

显示全部楼层 · 发表于 2018-12-5 16:32:35

本帖最后由 c/mm 于 2018-12-5 16:50 编辑

全部按照楼主说的安装之后，打开IE 11捆绑www.889hao.com主页一直在加载然后转向2345.COM。。

显示全部楼层 · 发表于 2018-12-5 16:36:10

kaba666 发表于 2018-12-5 16:29
卡巴批反应没有！我用windows清理助手扫描，扫描到了那个驱动，卡巴马上反应到库文件里有个病毒，没看是 ...

出名的杀毒软件扫描不到，居然清理助手给扫描出来了。。。

[病毒样本] 改主页驱动木马一枚，运行后几乎免疫所有杀软