搜索
楼主: kxmp
收起左侧

[其他相关] 手杀伪装partmgr的rootkit

[复制链接]
lifan88
发表于 2019-7-24 20:58:48 | 显示全部楼层
温馨小屋 发表于 2019-7-24 14:38
我觉得病毒这么搞不太合理啊,这不一断电就凉了吗,还不如干脆做成无文件威胁呢

然而有摘不掉回调的。。
lifan88
发表于 2019-7-25 00:05:57 | 显示全部楼层
本帖最后由 lifan88 于 2019-7-25 14:55 编辑
kxmp 发表于 2019-7-23 19:57
没有的.
而且你说的那个新版本 里面域名还是新的 根本就是活的好好的呢

FVCK,说到云端控制,我就想到了方程式那些玩意,方程式里面有一个未知母体的DLL,可以做硬盘重编程把某些东西写进固件的玩意,那东西研究人员猜测是云端控制的。。。妈蛋2008年的时候,心疼被针对的。。
关于硬盘重编程:https://www.antiy.com/response/EQUATION_ANTIY_REPORT.html
方程式的出现和手段:https://www.antiy.com/response/EQUATIONS/EQUATIONS.html

说到这种安排人家的手段,我还是要提到远古样本,2008年的一个ROOTKIT(几个大兄弟最后发现并没有VBR的感染,想想,2008年的VBR感染对于一个普通电脑用户是多么可怕的存在,但是卡巴的文献是有VBR的感染的),就是方程式的Grayfish。

这个东西在我的一个pure的虚拟机WinXP-x86系统上(没有打过多补丁的情况下),直接击穿了Xuetr和MD的驱动加载BLOCK,在没有先创建驱动的情况下(对,驱动还没有创建)直接加载了驱动,我当时没有意识到这可能是一个0day的漏洞,好像文章也没有提及。。

现在我才发现,一个刚出来的新ROOTKIT,并且对应新写SYS文件,利用一个XP-X86的漏洞直接载入内核,自删除,不挂任何钩子,就一个简单的文件保护防止上传,怪不得那么久才发现。。



kxmp
 楼主| 发表于 2019-7-25 11:42:24 | 显示全部楼层
lifan88 发表于 2019-7-25 00:05
FVCK,说到云端控制,我就想到了方程式那些玩意,方程式里面有一个未知母体的DLL,可以做硬盘重编程把某 ...

可你也没法证明那些高级样本不是中国人造的.
lifan88
发表于 2019-7-25 14:54:56 | 显示全部楼层
kxmp 发表于 2019-7-25 11:42
可你也没法证明那些高级样本不是中国人造的.

noob了,当作没看见就行
AlphaRabbit
发表于 2019-9-21 17:25:43 来自手机 | 显示全部楼层
我才不会说,HTUIDC是我以前上班的地方(哈欠)
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-10-21 13:28 , Processed in 0.061232 second(s), 15 queries .

快速回复 返回顶部 返回列表