楼主: leopard32167
收起左侧

[交流探讨] 对于反复清除不掉的流氓软件还是卡巴强

[复制链接]
温馨小屋
头像被屏蔽
发表于 2019-7-16 21:05:09 | 显示全部楼层
本帖最后由 温馨小屋 于 2019-7-16 21:13 编辑
huang1111 发表于 2019-7-16 11:30
如你所愿,我自己来测试这个样本
运行完成以后,如图下所示:

卡巴2020+win7 x64

首先加载驱动,出现两个ACPI.sys,两个对象劫持,同时首页被劫持
捕获.PNG


快速扫描检测到病毒,点击清除并重启后虚拟机立刻被关机,所以这里点不重启清除
捕获3.PNG

重新启动后再次监测到病毒驱动
捕获4.PNG

隔离区里有一个病毒驱动,PCH提示病毒仍存活
捕获5.PNG




所以,卡巴清理失败,不知道你是怎么清理成功的

我看了原帖就觉得应该会凉,当病毒放弃隐藏开始和你死磕的时候一般杀软都是拼不过的,除非进PE或升级软件进行特殊处理,我觉得这种rootkit能扫出来就行了,当病毒都现形了应该不难清理了

我最害怕的是这样的

捕获.PNG
kaba666
发表于 2019-7-16 21:13:26 来自手机 | 显示全部楼层
温馨小屋 发表于 2019-7-16 21:05
卡巴2020+win7 x64

首先加载驱动,出现两个ACPI.sys,两个对象劫持,同时首页被劫持

我是小白,我删不掉,他是高手,他删掉了!
kaba666
发表于 2019-7-16 21:27:41 来自手机 | 显示全部楼层
温馨小屋 发表于 2019-7-16 21:05
卡巴2020+win7 x64

首先加载驱动,出现两个ACPI.sys,两个对象劫持,同时首页被劫持

在原帖刚发出来的时候,卡巴没入库,随便怎么扫,不会报警,我当时测试,就直接进PE用卡巴工具扫描,扫描到了,直接干掉!后来卡巴入库了,再来测试,用卡巴来清除,死活删不了,同归于尽!今天你测试了,感觉如何?我一直在想1111是怎么删掉的?要么病毒没运行成功,要么系统环境原因!或其它!
kaba666
发表于 2019-7-16 21:35:56 来自手机 | 显示全部楼层
这种人虚晃测试,误导小白!自以为是~!删不掉的就是删不掉,非要说删的掉,想隐瞒什么,怕用户不花钱买卡巴了吗?搞不懂所以说,我跟那种人是无语的
温馨小屋
头像被屏蔽
发表于 2019-7-16 21:43:55 | 显示全部楼层
huang1111 发表于 2019-7-16 10:56
我认为你对于这个样本有些误会
本样本是通过加载驱动锁定主页,这种流氓行为不是卡巴无能力删除,而是卡 ...

这种rootkit卡巴要是单纯删除肯定是没问题的,但是卡巴没有办法应对这种同归于尽类型的病毒,与流氓行为无关,本身这种rootkit就已经足够入库了,我觉得卡巴能扫出来已经很厉害了,BD扫不到文件,360快速扫描扫不到,提示用急救箱,右键扫驱动文件之后360直接就被破坏了,主界面打不开,防护也全被关闭了
连pch都没有逼到病毒强制重启的那一步,根本动不了病毒驱动

捕获.PNG

huang1111
发表于 2019-7-16 22:13:36 | 显示全部楼层
温馨小屋 发表于 2019-7-16 21:43
这种rootkit卡巴要是单纯删除肯定是没问题的,但是卡巴没有办法应对这种同归于尽类型的病毒,与流氓行为 ...

我看了一下,有可能是以下原因
1、我系统的hal的dll文件出现问题,调用reboot函数失败2、我把系统补丁全打上了,我不清楚是否会产生结果影响
3、系统监控组件我调整过,未经授权行为阻止,检测恶意以后终止应用程序
我明天没空,如果无法重现,我后天再次看一下
温馨小屋
头像被屏蔽
发表于 2019-7-16 22:34:31 | 显示全部楼层
huang1111 发表于 2019-7-16 22:13
我看了一下,有可能是以下原因
1、我系统的hal的dll文件出现问题,调用reboot函数失败2、我把系统补丁全 ...

不知你看没看原贴,驱动会以调用reboot这么简单的方式实现关机吗?系统补丁应该不会有影响,此驱动没有利用漏洞的迹象,另外此病毒根本不涉及系统监控组件,是由快速扫描发现并清除的,我觉得有可能是你的2021改变了清毒方式导致的
huang1111
发表于 2019-7-16 22:36:34 | 显示全部楼层
温馨小屋 发表于 2019-7-16 22:34
不知你看没看原贴,驱动会以调用reboot这么简单的方式实现关机吗?系统补丁应该不会有影响,此驱动没有利 ...

原帖分析下来是调用HalReturnToFirmware函数,就是通过hal.dll这个文件实现的,我说的reboot只是简称
温馨小屋
头像被屏蔽
发表于 2019-7-16 22:40:43 | 显示全部楼层
huang1111 发表于 2019-7-16 22:36
原帖分析下来是调用HalReturnToFirmware函数,就是通过hal.dll这个文件实现的,我说的reboot只是简称

你这简称误导性真强


我不觉得hal损坏系统还能正常运行
huang1111
发表于 2019-7-16 22:53:18 | 显示全部楼层
温馨小屋 发表于 2019-7-16 22:40
你这简称误导性真强

这只是我的猜测,我后天再看一下
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 02:08 , Processed in 0.095040 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表