对于反复清除不掉的流氓软件还是卡巴强

温馨小屋

huang1111 发表于 2019-7-16 11:30
如你所愿，我自己来测试这个样本
运行完成以后，如图下所示：

卡巴2020+win7 x64

首先加载驱动，出现两个ACPI.sys，两个对象劫持，同时首页被劫持



快速扫描检测到病毒，点击清除并重启后虚拟机立刻被关机，所以这里点不重启清除


重新启动后再次监测到病毒驱动


隔离区里有一个病毒驱动，PCH提示病毒仍存活





所以，卡巴清理失败，不知道你是怎么清理成功的

我看了原帖就觉得应该会凉，当病毒放弃隐藏开始和你死磕的时候一般杀软都是拼不过的，除非进PE或升级软件进行特殊处理，我觉得这种rootkit能扫出来就行了，当病毒都现形了应该不难清理了

我最害怕的是这样的

kaba666

温馨小屋 发表于 2019-7-16 21:05
卡巴2020+win7 x64

首先加载驱动，出现两个ACPI.sys，两个对象劫持，同时首页被劫持

我是小白，我删不掉，他是高手，他删掉了！

kaba666

温馨小屋 发表于 2019-7-16 21:05
卡巴2020+win7 x64

首先加载驱动，出现两个ACPI.sys，两个对象劫持，同时首页被劫持

在原帖刚发出来的时候，卡巴没入库，随便怎么扫，不会报警，我当时测试，就直接进PE用卡巴工具扫描，扫描到了，直接干掉！后来卡巴入库了，再来测试，用卡巴来清除，死活删不了，同归于尽！今天你测试了，感觉如何？我一直在想1111是怎么删掉的？要么病毒没运行成功，要么系统环境原因！或其它！

kaba666

这种人虚晃测试，误导小白！自以为是～！删不掉的就是删不掉，非要说删的掉，想隐瞒什么，怕用户不花钱买卡巴了吗？搞不懂所以说，我跟那种人是无语的

温馨小屋

huang1111 发表于 2019-7-16 10:56
我认为你对于这个样本有些误会
本样本是通过加载驱动锁定主页，这种流氓行为不是卡巴无能力删除，而是卡 ...

这种rootkit卡巴要是单纯删除肯定是没问题的，但是卡巴没有办法应对这种同归于尽类型的病毒，与流氓行为无关，本身这种rootkit就已经足够入库了，我觉得卡巴能扫出来已经很厉害了，BD扫不到文件，360快速扫描扫不到，提示用急救箱，右键扫驱动文件之后360直接就被破坏了，主界面打不开，防护也全被关闭了
连pch都没有逼到病毒强制重启的那一步，根本动不了病毒驱动

huang1111

温馨小屋 发表于 2019-7-16 21:43
这种rootkit卡巴要是单纯删除肯定是没问题的，但是卡巴没有办法应对这种同归于尽类型的病毒，与流氓行为 ...

我看了一下，有可能是以下原因
1、我系统的hal的dll文件出现问题，调用reboot函数失败2、我把系统补丁全打上了，我不清楚是否会产生结果影响
3、系统监控组件我调整过，未经授权行为阻止，检测恶意以后终止应用程序
我明天没空，如果无法重现，我后天再次看一下

温馨小屋

huang1111 发表于 2019-7-16 22:13
我看了一下，有可能是以下原因
1、我系统的hal的dll文件出现问题，调用reboot函数失败2、我把系统补丁全 ...

不知你看没看原贴，驱动会以调用reboot这么简单的方式实现关机吗？系统补丁应该不会有影响，此驱动没有利用漏洞的迹象，另外此病毒根本不涉及系统监控组件，是由快速扫描发现并清除的，我觉得有可能是你的2021改变了清毒方式导致的

huang1111

温馨小屋 发表于 2019-7-16 22:34
不知你看没看原贴，驱动会以调用reboot这么简单的方式实现关机吗？系统补丁应该不会有影响，此驱动没有利 ...

原帖分析下来是调用HalReturnToFirmware函数，就是通过hal.dll这个文件实现的，我说的reboot只是简称

温馨小屋

huang1111 发表于 2019-7-16 22:36
原帖分析下来是调用HalReturnToFirmware函数，就是通过hal.dll这个文件实现的，我说的reboot只是简称

你这简称误导性真强


我不觉得hal损坏系统还能正常运行

huang1111

温馨小屋 发表于 2019-7-16 22:40
你这简称误导性真强

这只是我的猜测，我后天再看一下