驱动木马x2

显示全部楼层 · 发表于 2019-10-31 22:54:39

本帖最后由 zay365 于 2019-10-31 23:15 编辑

lifan88 发表于 2019-10-31 22:45
这种东西对付萌新还是不行啊。。一下就被发现了
当年zeroaccess（2011）这玩意也是内核中下载文件 ...

在火绒入库之前就发现不了
这个样本我用windows清理助手杀成功了3次，但是之后再试就都杀不掉了，不知道是怎么回事
还有我想知道TDSSKiller的杀法是什么原理

TDSSKiller在默认参数下报了两个驱动，重启后还是老样子。但把检查文件数字签名勾上后会报出第三个驱动就是那个7KB的驱动，把这个驱动也删除了重启后就正常了

显示全部楼层 · 发表于 2019-10-31 23:17:00

zay365 发表于 2019-10-31 22:54
这个样本我用windows清理助手杀成功了3次，但是之后再试就都杀不掉了，不知道是怎么回事

我给你讲一下这个ROOTKIT的工作流程
一共三个SYS，我把他们命名为A.SYS, B.SYS C.SYS

A.sys （大小949KB）：内核下载者，自我保护弱，几乎裸奔，只有重启改名回写和注册表变更，文件保护都没有。负责在内核中下载B.sys并且内核中加载B.sys，这样是击破你所有R3的监控。
PChunter中有一个禁止加载驱动功能，挂了一个镜像加载回调（封锁驱动加载）就可以挡住A.sys的内核态加载驱动！

B.sys（大小909K左右）：这个才是本体，自我保护较强，文件是彻底死锁的，PCH观察到都是文件不存在，
会重新下载A.sys和补充下载一个WINaudio组件，并且内核中释放一个不知道加没加载的C.sys，这个被漏掉会导致A/B.sys复活

C.sys(查看信息后发现这不是驱动，要不然不可能没有签名，大小8K左右)，但是它是不加载驱动项目里的，有注册表！会导致B.sys复活，我怀疑是一个组件，针对了PCH/GMER之类做了屏蔽

你缕一缕你就知道你只是杀了A.sys。。。。

显示全部楼层 · 发表于 2019-11-3 00:03:20

zay365 发表于 2019-10-31 22:54
在火绒入库之前就发现不了
这个样本我用windows清理助手杀成功了3次，但是之后再试就都杀不掉了，不知道 ...

不知道，有点像重启特殊删除，你去看看TDSSKILLER挂的回调，和病毒一样凶残

。。感觉像暗云3破坏360急救箱一样用了占坑的恶心方法还是干了什么。。。

显示全部楼层 · 发表于 2019-11-6 09:56:23

本帖最后由 zay365 于 2019-11-18 16:24 编辑

http://bbs.huorong.cn/thread-63592-1-1.html
又找到一个中了这个的案例
估计这个病毒已经在他电脑里潜伏了很长时间了
更新：又一个·
http://bbs.huorong.cn/thread-63948-1-1.html

[病毒样本] 驱动木马x2