驱动木马x2

www-tekeze

安天清空！无BD管家 Miss All 。

落华无痕

lifan88 发表于 2019-10-20 23:28
注意！这个驱动确认是云端控制的，一言不合给我下载了：
两个dat，一个SYS，一个EXE，两个DLL，几个签名文 ...

没注意。我是PE里手杀的。也不是我电脑。

www-tekeze

SEP Miss All 。。

lifan88

www-tekeze 发表于 2019-10-21 00:21
SEP Miss All 。。

提醒一下，杀毒没用哈哈，这东西加载后通过云端控制挺吓人的。

www-tekeze

lifan88 发表于 2019-10-21 00:28
提醒一下，杀毒没用哈哈，这东西加载后通过云端控制挺吓人的。

测下扫描就行了，今天事多刚上线。。。加载不玩了，准备睡觉。。。

zay365

win7x64
那个7KB的驱动没数字签名加载不了，另外两个驱动加载任意一个效果都是一样的。
用PCH和PT可以看见两个随机名称的驱动，其中一个显示文件不存在，在资源管理器里右键属性也看不到信息。试图手杀失败，钩子和回调能摘除掉，但驱动干不掉。重启后两个驱动又换了随机的文件名。
gmer扫描不到
火绒专杀杀了一个驱动，重启后还是原样
360急救箱提示进入强力模式又提示让你用WinPE版，在系统下包括安全模式都里显示删除了两个驱动，但重启后还是老样子。
在PE里360急救箱能成功解决，显示删掉了那两个驱动
TDSSKiller在默认参数下报了两个驱动，重启后还是老样子。但把检查文件数字签名勾上后会报出第三个驱动就是那个7KB的驱动，把这个驱动也删除了重启后就正常了（我真的想不明白这是怎么回事，难道和内核漏洞有关？我这系统在安装后就只安装了一个SHA-2签名补丁）
加载这个Rootkit后360安全防护中心里的网络安全防护和网页安全防护无法开启
C:\windows\temp文件夹里会出现一个随机名称的dat,两个随机名称的exe,winaudio.dll,winaudio64.dll,winaudio.exe等文件，随机名称的每次开机后都会变。开机时两个随机名称的exe会自启动，会出现两个一闪而过的命令行程序窗口，自启动项一个是开始菜单启动目录里的快捷方式，一个是服务项，被添加时主防没有任何反应，我去删除时360反而弹框了。除了两个随机名称的exe外360安全卫士和智量都报毒，火绒全MISS

lifan88

zay365 发表于 2019-10-21 01:47
win7x64
那个7KB的驱动没数字签名加载不了，另外两个驱动加载任意一个效果都是一样的。
用PCH和PT可以看 ...

手杀很简单，把病毒驱动全部内核线程暂停，内核回调摘了，驱动设备删了，微端口钩子拔了，然后直接去drivers下把病毒驱动改名字，不能改名的，在PCH里面挨个对内核模块，包括没有加载的，把全部病毒驱动的启动方式改成disable，用PCH暴力重启，死了

lifan88

zay365 发表于 2019-10-21 01:47
win7x64
那个7KB的驱动没数字签名加载不了，另外两个驱动加载任意一个效果都是一样的。
用PCH和PT可以看 ...

winaudio是system启动的，无法拦截。。

启动项添加不拦截应该还是System写进去的。。。

这个病毒的908kb的那个驱动会删掉360的驱动

wowocock

本地测了下，从论坛http://weishi.360.cn/jijiuxiang/index.html,下完整版急救箱查杀，可正常查杀。建议不要用安全卫士里的急救箱，因为可能会木马封死360目录导致行为异常。

落华无痕

wowocock 发表于 2019-10-21 10:31
本地测了下，从论坛http://weishi.360.cn/jijiuxiang/index.html,下完整版急救箱查杀，可正常查杀。建议不 ...

奇怪，我早上虚拟机里测试，急救箱重启扫描了几次都切换不了红色的强力模式（一直蓝色）。也是那个网址下载的。