查看: 4466|回复: 53
收起左侧

[病毒样本] 疑似QQ空间广告说说元凶,rootkit2个exe1个,独狼rootkit变种?

[复制链接]
落华无痕
发表于 2019-1-20 13:08:24 | 显示全部楼层 |阅读模式
本帖最后由 落华无痕 于 2019-1-20 16:47 编辑

今天给某网友远程检查电脑发现的。说是空间说说自动发广告。
我检查时发现浏览器主页也被篡改,火狐浏览器改浏览器进程名也无用,照样劫持,ie改进程名后无法运行。


pchunter看了进程发现temp目录的gameinc.exe,很可疑,结束进程后照样劫持主页。

检查了各启动项,习惯了看颜色项目,没注意9685A327.sys伪装成系统驱动(重定向到acpi.sys),最后检查注册表services时发现9685A327.sys,打开drivers目录,驱动全部被隐藏了无法查看,知道是rootkit。

装了微PE准备进PE删文件了,网友刚好没空。想起还有360急救箱,就装了看,嗯,果然没让人失望。

急救箱发现了gameinc.exe和两个sys。下面上传:

https://www.lanzous.com/i2xepwb 密码:infected

欢迎双击,驱动可以Instdrv运行,自行下载。

这个是什么情况?



原来腾讯已有相关报道,也就是之前360说的警惕搜索引擎推广的激活工具
暴风激活工具传播独狼Rootkit新变种



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
www-tekeze + 1 版区有你更精彩: )

查看全部评分

蓝蓝的天空
发表于 2019-1-20 13:11:35 | 显示全部楼层
刚 下载完火绒 就提示了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
落华无痕
 楼主| 发表于 2019-1-20 13:13:32 | 显示全部楼层
蓝蓝的天空 发表于 2019-1-20 13:11
刚 下载完火绒 就提示了

那人电脑装了火绒,相安无事,估计是rootkit运行后,才安装的。
dreams521
发表于 2019-1-20 13:16:36 | 显示全部楼层
  1. 20.01.2019 13.15.52;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\26DEE5D6.tmp.zip//9685A327.sys;C:\Users\Administrator\Desktop\26DEE5D6.tmp.zip//9685A327.sys;HEUR:Trojan.Win32.Generic;木马程序;01/20/2019 13:15:52
  2. 20.01.2019 13.15.52;检测到的对象 ( 文件 ) 已删除;C:\Users\Administrator\Desktop\26DEE5D6.tmp.zip//MjU2YW.sys;C:\Users\Administrator\Desktop\26DEE5D6.tmp.zip//MjU2YW.sys;HEUR:Trojan.Win32.Generic;木马程序;01/20/2019 13:15:52
复制代码
你好,再见
头像被屏蔽
发表于 2019-1-20 13:21:12 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2019-1-20 13:30:44 | 显示全部楼层
火绒 kill 2X,智量还多杀一个驱动。。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2019-1-20 13:33:10 | 显示全部楼层
落华无痕
 楼主| 发表于 2019-1-20 13:35:53 | 显示全部楼层

没漏,估计是刚上报的。我之前扫描也是报两个,刚刚扫描就三个了。
dreams521
发表于 2019-1-20 13:38:06 | 显示全部楼层

不加密码,直接打不开
www-tekeze
发表于 2019-1-20 13:38:54 | 显示全部楼层
落华无痕 发表于 2019-1-20 13:35
没漏,估计是刚上报的。我之前扫描也是报两个,刚刚扫描就三个了。

你也用卡巴试过? 两个驱动都有上海域联签名,火绒应该漏了一个驱动。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 04:18 , Processed in 0.133866 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表