一发rootKit

显示全部楼层 · 发表于 2019-7-22 10:18:06

swizzer 发表于 2019-7-22 10:09
我记得在我这它还会加载一个 FsWriteBack.sys

我没看到那两个驱动加载
不过病毒DLL几乎注入到了所有进程里

显示全部楼层 · 发表于 2019-7-22 10:23:16

温馨小屋发表于 2019-7-22 10:18
我没看到那两个驱动加载
不过病毒DLL几乎注入到了所有进程里

我再复现一下看看

显示全部楼层 · 发表于 2019-7-22 10:26:28

温馨小屋发表于 2019-7-22 10:18
我没看到那两个驱动加载
不过病毒DLL几乎注入到了所有进程里

太尴尬了。。。他在我这都不感染了。。死活不加驱

显示全部楼层 · 发表于 2019-7-22 10:28:03

swizzer 发表于 2019-7-22 10:26
太尴尬了。。。他在我这都不感染了。。死活不加驱

我这里会释放驱动，但是不会加载，手动加载也没有任何动作，不过好几个病毒进程和病毒DLL运行起来了，不过也没见挖矿，可能这玩意有云控。。。

显示全部楼层 · 发表于 2019-7-22 10:37:36

本帖最后由温馨小屋于 2019-7-22 10:39 编辑

BD感染后清除

辣鸡BD，我还能说什么好呢。。。

快速扫描没扫出驱动，只清除了那个伪装打印机服务的挖矿进程，USP20.DLL清除不掉，还要求我进救援模式，Rootkit清不掉还情有可原，连被占用的文件都删不掉，我觉得BD现在的清除和ESET有一拼。那个驱动有隐藏属性（驱动并没有加载，只是文件属性），我都打开drivers目录了他还没反应，必须我打开隐藏文件显示去找到那个驱动点击右键这才监控杀掉

显示全部楼层 · 发表于 2019-7-22 10:46:29

温馨小屋发表于 2019-7-22 10:37
BD感染后清除

辣鸡BD，我还能说什么好呢。。。

BD：什么?感染后清除？我ATD拦截一切！

显示全部楼层 · 发表于 2019-7-22 10:49:22

swizzer 发表于 2019-7-22 10:46
BD：什么?感染后清除？我ATD拦截一切！

双击确实ATD能杀，这个样本动作太多了，但是如果病毒只加驱的话ATD就会漏掉，它不防加驱啊

显示全部楼层 · 发表于 2019-7-22 11:01:28

楼主说“过了智量主防，扫描未测。”，主防确实被过！扫描我替楼主测下。。

首先断网然后恢复虚拟机快照（后续也都是在断网情况下测试），扫描报PUP，可以肯定之前已入库！因火绒报释放器所以关了火绒监控，双击只有两个弹窗，当中会释放一个黑驱动到Drivers里，但不会加载。。。启动智量快速扫描，发现5项风险（第5个就是黑驱动，显示不了单独补个图）。

智量主防全程没反应，主防确实被过！有5个恶意文件落地，为何没反应呢，bug？ @智量官方

显示全部楼层 · 发表于 2019-7-22 11:05:47

www-tekeze 发表于 2019-7-22 11:01
楼主说“过了智量主防，扫描未测。”，主防确实被过！扫描我替楼主测下。。

首先断网然后恢复虚拟 ...

感谢测试~其实这个样本动作很大，连AppInit_DLLs都修改了，不清楚智量为何不杀。。。

显示全部楼层 · 发表于 2019-7-22 11:07:45

www-tekeze 发表于 2019-7-22 11:01
楼主说“过了智量主防，扫描未测。”，主防确实被过！扫描我替楼主测下。。

首先断网然后恢复虚拟 ...

忘了提了，我的智量前天已被锁库，检测率会有一定衰减（等衰减到一定程度时说不定能搞个测试，嘻嘻）

[病毒样本] 一发rootKit

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源