搜索
楼主: lifan88
收起左侧

[病毒样本] 【奇怪的免杀思路】老司机翻车录,被一Rootkit潜伏一年多,点名某些KMS捆绑Ro...

  [复制链接]
www-tekeze
发表于 2019-7-11 12:57:38 | 显示全部楼层
本帖最后由 www-tekeze 于 2019-7-11 13:02 编辑
www-tekeze 发表于 2019-7-11 12:45
双击火绒扫描MISS的激活工具,会释放一个黑驱动,被火绒报Rootkit,同时本体被智量主防杀!

退出绒智双击,会在C:\Users\.....\AppData\Local\Temp下释放文件,当中的KMSpico1才是真正的暴风激活V17,大小只有1.65MB,而原有激活工具接近8MB,早被加料了!(黑驱动等)  。。。对比我收藏的原版暴风,MD5相同。
PS:激活工具带毒,火绒去年5月份就发过安全播报,里面就有被加料的暴风激活。。

http://bbs.huorong.cn/thread-46656-1-1.html


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
温馨小屋
发表于 2019-7-11 13:02:18 | 显示全部楼层
本帖最后由 温馨小屋 于 2019-7-11 14:20 编辑

卡巴关闭保护后运行病毒

重启成功加载病毒驱动,partmgr全红



卡巴运行快速扫描,在这个病毒驱动上卡了一两分钟



扫描完成后提示清除



在选择不重新启动的情况下卡巴依然删掉了驱动



重启劫持项消失



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2人气 +2 收起 理由
Picca + 1 版区有你更精彩: )
lifan88 + 1 哇,卡巴有点东西啊

查看全部评分

www-tekeze
发表于 2019-7-11 13:30:40 | 显示全部楼层
本帖最后由 www-tekeze 于 2019-7-11 13:32 编辑
www-tekeze 发表于 2019-7-11 12:57
退出绒智双击,会在C:%users\.....\AppData\Local\Temp下释放文件,当中的KMSpico1才是真正的暴风激活V17 ...

退出绒智运行激活工具,重启后智量快扫只发现一个释放的uninst.exe,火绒无发现,说明黑驱动劫持后已被隐藏!但用火绒专杀发现三项风险,处理后重启,绒智两者都发现了黑驱动YWZiNW.sys 。
处理后再次重启,用绒智以及火绒专杀扫描,没发现任何问题,相信已完美解决!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
lifan88 + 1 感谢测试

查看全部评分

lifan88
 楼主| 发表于 2019-7-11 13:55:05 | 显示全部楼层
yjwfdc 发表于 2019-7-11 11:22
有md四d保护应该很容易发现啊。

我都是扔虚拟机测试看看捆绑情况,那次疏忽了,当时虚拟机没有WIN8的,就实机跑了360沙箱,结果沙箱中不发作
lifan88
 楼主| 发表于 2019-7-11 14:10:20 | 显示全部楼层
温馨小屋 发表于 2019-7-11 12:27
BD两个驱动都杀,但两个exe miss,双击exe释放的驱动被监控杀掉

稍后测试带毒清除

感谢测试!!不过兄弟我发现了什么不得了的东西




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
温馨小屋
发表于 2019-7-11 14:16:10 | 显示全部楼层
lifan88 发表于 2019-7-11 14:10
感谢测试!!不过兄弟我发现了什么不得了的东西

之前学爬虫从网上扒下来的图片,本来是测试勒索用的,已经被加密了好几拨了
lifan88
 楼主| 发表于 2019-7-11 14:17:13 | 显示全部楼层
wowocock 发表于 2019-7-11 10:38
很老的木马了,360急救箱扫描轻松处理。这种ROOTKLIT技术,在最新流行的主页保安类保护技术面前如同小儿科 ...

老病毒那一套保护实际上中了之后就完蛋了,也没有人没事用专杀全盘砍,况且在没有明显动作的时候是非常难受的,大佬有什么解决方法和建议么。。杀毒软件一般是应用于广泛情况,而专杀是特殊情况,这点被利用还是挺伤的(要不是心血来潮用PCH和TDSSKILLER我还真没发现机子有ROOTKIT潜伏)
lifan88
头像被屏蔽
 楼主| 发表于 2019-7-11 14:24:26 | 显示全部楼层
提示: 该帖被管理员或版主屏蔽
温馨小屋
发表于 2019-7-11 14:28:16 | 显示全部楼层
lifan88 发表于 2019-7-11 14:17
老病毒那一套保护实际上中了之后就完蛋了,也没有人没事用专杀全盘砍,况且在没有明显动作的时候是非常难 ...

似乎卡巴会定期运行Rootkit扫描,应该能解决一部分问题,其他软件没见过类似功能
85683213
发表于 2019-7-11 19:28:19 | 显示全部楼层
温馨小屋 发表于 2019-7-11 12:27
BD两个驱动都杀,但两个exe miss,双击exe释放的驱动被监控杀掉

稍后测试带毒清除

System Scan 呢?
Quick Scan 默认没有扫描Rootkit 吧
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-11-17 11:30 , Processed in 0.061513 second(s), 16 queries .

快速回复 返回顶部 返回列表