手杀伪装partmgr的rootkit

显示全部楼层 · 发表于 2019-7-24 20:58:48

温馨小屋发表于 2019-7-24 14:38
我觉得病毒这么搞不太合理啊，这不一断电就凉了吗，还不如干脆做成无文件威胁呢

然而有摘不掉回调的。。

显示全部楼层 · 发表于 2019-7-25 00:05:57

本帖最后由 lifan88 于 2019-7-25 14:55 编辑

kxmp 发表于 2019-7-23 19:57
没有的.
而且你说的那个新版本里面域名还是新的根本就是活的好好的呢

FVCK，说到云端控制，我就想到了方程式那些玩意，方程式里面有一个未知母体的DLL，可以做硬盘重编程把某些东西写进固件的玩意，那东西研究人员猜测是云端控制的。。。妈蛋2008年的时候

，心疼被针对的。。
关于硬盘重编程：https://www.antiy.com/response/EQUATION_ANTIY_REPORT.html
方程式的出现和手段：https://www.antiy.com/response/EQUATIONS/EQUATIONS.html

说到这种安排人家的手段，我还是要提到远古样本，2008年的一个ROOTKIT（几个大兄弟最后发现并没有VBR的感染，想想，2008年的VBR感染对于一个普通电脑用户是多么可怕的存在，但是卡巴的文献是有VBR的感染的），就是方程式的Grayfish。

这个东西在我的一个pure的虚拟机WinXP-x86系统上（没有打过多补丁的情况下），直接击穿了Xuetr和MD的驱动加载BLOCK，在没有先创建驱动的情况下(对，驱动还没有创建)直接加载了驱动，我当时没有意识到这可能是一个0day的漏洞，好像文章也没有提及。。

现在我才发现，一个刚出来的新ROOTKIT，并且对应新写SYS文件，利用一个XP-X86的漏洞直接载入内核，自删除，不挂任何钩子，就一个简单的文件保护防止上传，怪不得那么久才发现。。

显示全部楼层 · 发表于 2019-7-25 11:42:24

lifan88 发表于 2019-7-25 00:05
FVCK，说到云端控制，我就想到了方程式那些玩意，方程式里面有一个未知母体的DLL，可以做硬盘重编程把某 ...

可你也没法证明那些高级样本不是中国人造的.

显示全部楼层 · 发表于 2019-7-25 14:54:56

kxmp 发表于 2019-7-25 11:42
可你也没法证明那些高级样本不是中国人造的.

noob了，当作没看见就行

显示全部楼层 · 发表于 2019-9-21 17:25:43

我才不会说，HTUIDC是我以前上班的地方（哈欠）

[其他相关] 手杀伪装partmgr的rootkit