查看: 3355|回复: 28
收起左侧

[分享] 记一次系统主页被劫持

[复制链接]
2512975065
发表于 2019-7-10 23:21:14 | 显示全部楼层 |阅读模式
本帖最后由 2512975065 于 2019-7-11 22:52 编辑

不知发到这里有没有问题,麻烦管理员帮我移到合适的位置哈!
----------------------------------------7.10-----------------------------------
今天将家里那台最老的机器(也是唯一能刻录光碟的机器)从Win10弄回XP
Windows XP大多数人都应该选用Ghost版的吧(原版驱动不全)
扫描,快捷方式检查,均没有发现病毒,浏览器配置文件没有被修改
火绒工程师用的检测脚本:https://bbs.kafan.cn/thread-2154020-1-1.html
(以上均告失败,可能是我这个系统比较新,火绒那边还没收录)
貌似专杀工具在Windows XP下运行有问题(就是Prepaping后直接扫描完成,连文件都不扫描了)
无论是搜索还是主页,都被弄回
自己看图啊,我就不打上去了
接下来请出火绒剑,查看有没有可疑的sysdll文件被加载(考虑到应该是驱动级劫持)
重点检查explorer,结果发现没有被加载可疑dll文件
不过根据经历,这一般找不到什么东西
直接去内核找(找驱动)
然后在内核里找到一个未知文件(jcDNMgbR.sys),该文件命名方式奇怪,并且没有公司名,签名和描述,看起来应该就是他了。
咋们先备份出来,提交给火绒分析以及样本区,当然有兴趣的可以自己分析。(事实上是专杀工具随机释放的sys,冒汗啊)
在找该sys时候发现该sys不见了???(确实不见了)
突然想起还没有重启系统,于是将系统重启,但没有效果,依然被劫持
智量扫描无异常
于是将目标转向tcpip.sys(因为他是唯一一个文件在火绒剑里被标识未知文件的)
很迟了,就文件放上来给大家检查一下!
明天请火绒工程师看一下
----------------------------7.11--------------------------
不知为何专杀工具正常了,重新扫描,发现一个Wenk开头报毒的文件,将其处理掉,重启,仍然没效果
后来请火绒工程师来解决该问题
火绒工程师从早上10点,一直到晚上6点,确实辛苦啊
得出了一个结论:
这个系统有病毒:WenkPico,以及修改过的2345驱动一起锁首
后来将这些sys删除,浏览器配置全部删除一次后,终于恢复正常!
(说实话和我预想中的只是差了一个驱动)


我对主页劫持其实也有一套自己的方法的,操作和火绒工程师的操作差不多,但对于这个系统真的是无能为力,看看过几天分享出来吧


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
zhousulin5
发表于 2019-7-11 08:50:52 | 显示全部楼层
都到这一步了,就差一个操作,拿笔记下这个驱动文件,然后拔电(注意不是正常关机)进PE,应该就能找到它了。不过是否能彻底解决劫持主页的问题还不好说。
zghnsy127
发表于 2019-7-11 08:54:28 | 显示全部楼层


劫持用急救箱试试  杀杀杀把可疑的都干掉
火绒工程师
发表于 2019-7-11 10:29:19 | 显示全部楼层
您好,您这边加下我们QQ3158498132.我们这边看一下,感谢您的反馈~
yjwfdc
头像被屏蔽
发表于 2019-7-11 10:38:21 | 显示全部楼层
zhousulin5 发表于 2019-7-11 08:50
都到这一步了,就差一个操作,拿笔记下这个驱动文件,然后拔电(注意不是正常关机)进PE,应该就能找到它了 ...

这样操作应该找不到文件的,这是防止病毒回写,拔电后再开机,病毒可能就没有了,试试看还有没有劫持。

楼主再看看浏览器快捷方式有没有加尾巴。

如果不是ie,把浏览器删除,装过另一个。

如果是ie,管理加载项,把加载项全部删除。
wowocock
发表于 2019-7-11 10:46:43 | 显示全部楼层
用360急救箱强力扫描看看。如果没问题,一般可以排除ROOTKIT了。
wowocock
发表于 2019-7-11 10:50:35 | 显示全部楼层
补充下,也不能说排除ROOTKIT,因为360急救箱过去强大,最近开始发现一些ROOTKIT禁止任何急救箱驱动加载了。360签名驱动都无法加载。虽然我们可以利用内核漏洞来绕过任何木马驱动保护。不过公司方面不允许用于产品中。所以我们一般会在产品中建议用于使用WINPE急救箱查杀。这就是做正规产品的缺陷。
zhousulin5
发表于 2019-7-11 10:54:04 | 显示全部楼层
本帖最后由 zhousulin5 于 2019-7-11 10:58 编辑
yjwfdc 发表于 2019-7-11 10:38
这样操作应该找不到文件的,这是防止病毒回写,拔电后再开机,病毒可能就没有了,试试看还有没有劫持。
...

我说的拔电是要防止病毒在系统正常关机时修改自身名字,然后直接进PE就是不让病毒的驱动生效。你考虑到的是病毒在加载驱动后删掉了自身,然后系统关机时再释放。我考虑的是病毒仅仅隐藏自身而非删除,关机时改名注册驱动,病毒文件一直都在,只是名字会变。我相信我考虑的情况会是大多数,毕竟这样简单得多。
至于快捷方式尾巴,我相信楼主是看过了的。

评分

参与人数 1人气 +1 收起 理由
yjwfdc + 1 感谢解答: )

查看全部评分

yjwfdc
头像被屏蔽
发表于 2019-7-11 11:03:19 | 显示全部楼层
zhousulin5 发表于 2019-7-11 10:54
我说的拔电是要防止病毒在系统正常关机时修改自身名字,然后直接进PE就是不让病毒的驱动生效。你考虑到的 ...

我看了一下他的图,快捷方式尾巴楼主是看过了。
你考虑改名注册驱动用直接断电也是可以防的,直接断电就改不了名,注册不了驱动了。
如果是改名注册驱动,进pe也找不到原来名字的文件,
如果是驱动隐藏自身文件,在系统用驱动级软件应该可以看到。

楼主这个问题的可能性有四。
1.mbr有毒。
2.驱动级劫持。
3.浏览器是修改版。
4.加载项劫持。

最大可能是3
wowocock
发表于 2019-7-11 11:12:02 | 显示全部楼层
yjwfdc 发表于 2019-7-11 11:03
我看了一下他的图,快捷方式尾巴楼主是看过了。
你考虑改名注册驱动用直接断电也是可以防的,直接断电就 ...

然后在内核里找到一个未知文件(jcDNMgbR.sys),然后他上传的又是系统的TCPIP.sys,所以可以肯定是木马驱动的重定向了。这类驱动木马比较多。不过应该是老毒,大家都应该能杀了。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 22:44 , Processed in 0.125514 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表