收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 驱动木马x2
12345下一页
返回列表 发新帖
楼主: 落华无痕
 收起左侧

[病毒样本] 驱动木马x2

[复制链接]
wowocock
发表于 2019-10-21 10:48:17 | 显示全部楼层
落华无痕 发表于 2019-10-21 10:35
奇怪,我早上虚拟机里测试,急救箱重启扫描了几次都切换不了红色的强力模式(一直蓝色)。也是那个网址下 ...

有可能,因为上面有人测试会提示用PE查杀,急救箱内部检测,当急救箱所有驱动都无法加载的时候,才会有这个提示。而且我们也发现有不少木马驱动,在进入系统以后会禁止任何360签名驱动加载。导致我们的驱动一个也起不来,所以才会提示进PE查杀的提示。由于现在很多国内驱动只有我们能完美查杀,导致木马作者疯狂封杀。所以才进有PE查杀的提示。由于木马作者无视其他安全软件,所以可以用其他安全软件试试,当然既然别人敢无视,所以可能效果不好。
回复

举报

落华无痕
 楼主| 发表于 2019-10-21 11:05:57 | 显示全部楼层
wowocock 发表于 2019-10-21 10:48
有可能,因为上面有人测试会提示用PE查杀,急救箱内部检测,当急救箱所有驱动都无法加载的时候,才会有这 ...

对,我早上也是,扫描开始没多久就提示用PE查杀。
刚才重新下载遍测试,扫描没多久就发现木马,然后提示重启。重启后病毒驱动导致蓝屏,再重启手动打开急救箱就是红色强力模式了,可以成功查杀了。


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

小岛花六
发表于 2019-10-21 12:28:04 | 显示全部楼层
瑞星31.1021.0002 Miss,上报人工
回复

举报

zay365
头像被屏蔽
发表于 2019-10-21 22:03:17 | 显示全部楼层
本帖最后由 zay365 于 2019-10-21 23:42 编辑

我当时也觉得奇怪,急救箱遇到驱动病毒不是要杀两次的吗,第一次蓝色的强力模式移除了驱动服务后立即重启,第二次红色的移除文件。但我试的时候只经历了蓝色的强力模式,没能成功移除。
看了下我的是9-23版的,安全卫士里的也是这样
有10-16和10-18版的,10-16版的会提示进入PE查杀,但能成功杀掉,10-18版的能正常杀掉(我试了几次有一次遇到了蓝屏的现象)。但第一次扫描后重启没有自动打开急救箱,还要自己手动打开
@wowocock 吐槽一下为什么不同日期发布的版本号都是5.1.64.1240,而且急救箱打开时不是会检测更新的吗?我当时打开官网一看版本号一样就以为是最新版的,而且打开时也没有自动更新。
说实话我不知道这样在安全卫士里内置急救箱有什么意义,还不如像火绒一样点击时打开下载页面呢,或者可以把急救箱安装到C:\Program Files (x86)\360\下而不是C:\Program Files (x86)\360\360Safe\下
回复

举报

wowocock
发表于 2019-10-22 10:33:10 | 显示全部楼层
zay365 发表于 2019-10-21 22:03
我当时也觉得奇怪,急救箱遇到驱动病毒不是要杀两次的吗,第一次蓝色的强力模式移除了驱动服务后立即重启, ...

卫士内带的可能比官网单独下载的要旧些,甚至单独下载的更新后,也会比官网当场下载的会旧些。主要是考虑到稳定和兼容性,官网当场下载的会是最新版本,一般一星期左右,没有明显的蓝屏,崩溃反馈,才会同步到其他版本中。所以会有一个延迟。你看的版本是主程序的版本,但其实还有很多其他模块更新,所以还是有差别的,所以一般建议用官网最新下载版本查杀。当然基本上99%的查杀新老版本基本一样。但有些新木马可能会有些差异。
回复

举报

zay365
头像被屏蔽
发表于 2019-10-22 12:44:13 | 显示全部楼层
本帖最后由 zay365 于 2019-10-24 00:29 编辑

???火绒官人说这不是病毒
http://bbs.huorong.cn/thread-63124-1-1.html
后续:现已重新确认为病毒

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

zay365
头像被屏蔽
发表于 2019-10-30 21:43:09 | 显示全部楼层
http://bbs.huorong.cn/thread-63388-1-1.html
火绒论坛一人中了这个
  1. 【1】2019-10-30 21:20:54,病毒防护,文件实时监控,发现病毒Trojan/Generic!3EA97EED635FC60E, 已处理
  2. 操作进程:System
  3. 病毒路径:C:\WINDOWS\temp\winaudio64.dll
  4. 病毒名称:Trojan/Generic!3EA97EED635FC60E
  5. 病毒ID:3EA97EED635FC60E
  6. 操作结果:已处理
复制代码


回复

举报

54ss
发表于 2019-10-30 23:27:32 | 显示全部楼层
zay365 发表于 2019-10-30 21:43
http://bbs.huorong.cn/thread-63388-1-1.html
火绒论坛一人中了这个

你是天天盯着吗
回复

举报

zay365
头像被屏蔽
发表于 2019-10-31 10:13:47 | 显示全部楼层
54ss 发表于 2019-10-30 23:27
你是天天盯着吗

没,正巧一打开火绒论坛就看到了这个帖子
回复

举报

lifan88
发表于 2019-10-31 22:45:07 | 显示全部楼层
本帖最后由 lifan88 于 2019-10-31 22:48 编辑
zay365 发表于 2019-10-31 10:13
没,正巧一打开火绒论坛就看到了这个帖子

这种东西对付萌新还是不行啊。。一下就被发现了
当年zeroaccess(2011)这玩意也是内核中下载文件,而且都在那个畸形设备的文件夹中,全程都是无视监控的。。

在XP下测试了火绒剑对ZEROACCESS的动作记录,ZEROACCESS应该是挂了什么钩子屏蔽了火绒剑,ZEROACCESS加载感染的畸形驱动后打开了SCSI很奇怪的设备之后,火绒剑再也看不到任何动作了。。。
回复

举报

下一页 »
12345下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 19:04 , Processed in 0.112464 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表