楼主: 落华无痕
收起左侧

[病毒样本] 驱动木马x2

[复制链接]
zay365
头像被屏蔽
发表于 2019-10-31 22:54:39 | 显示全部楼层
本帖最后由 zay365 于 2019-10-31 23:15 编辑
lifan88 发表于 2019-10-31 22:45
这种东西对付萌新还是不行啊。。一下就被发现了
当年zeroaccess(2011)这玩意也是内核中下载文件 ...

在火绒入库之前就发现不了
这个样本我用windows清理助手杀成功了3次,但是之后再试就都杀不掉了,不知道是怎么回事
还有我想知道TDSSKiller的杀法是什么原理
TDSSKiller在默认参数下报了两个驱动,重启后还是老样子。但把检查文件数字签名勾上后会报出第三个驱动就是那个7KB的驱动,把这个驱动也删除了重启后就正常了

lifan88
发表于 2019-10-31 23:17:00 | 显示全部楼层
zay365 发表于 2019-10-31 22:54
这个样本我用windows清理助手杀成功了3次,但是之后再试就都杀不掉了,不知道是怎么回事

我给你讲一下这个ROOTKIT的工作流程
一共三个SYS,我把他们命名为A.SYS, B.SYS C.SYS

A.sys (大小949KB):内核下载者,自我保护弱,几乎裸奔,只有重启改名回写和注册表变更,文件保护都没有。负责在内核中下载B.sys并且内核中加载B.sys,这样是击破你所有R3的监控。
PChunter中有一个禁止加载驱动功能,挂了一个镜像加载回调(封锁驱动加载)就可以挡住A.sys的内核态加载驱动!

B.sys(大小909K左右):这个才是本体,自我保护较强,文件是彻底死锁的,PCH观察到都是文件不存在,
会重新下载A.sys和补充下载一个WINaudio组件,并且内核中释放一个不知道加没加载的C.sys,这个被漏掉会导致A/B.sys复活

C.sys(查看信息后发现这不是驱动,要不然不可能没有签名,大小8K左右),但是它是不加载驱动项目里的,有注册表!会导致B.sys复活,我怀疑是一个组件,针对了PCH/GMER之类做了屏蔽

你缕一缕你就知道你只是杀了A.sys。。。。
lifan88
发表于 2019-11-3 00:03:20 | 显示全部楼层
zay365 发表于 2019-10-31 22:54
在火绒入库之前就发现不了
这个样本我用windows清理助手杀成功了3次,但是之后再试就都杀不掉了,不知道 ...

不知道,有点像重启特殊删除,你去看看TDSSKILLER挂的回调,和病毒一样凶残。。感觉像暗云3破坏360急救箱一样用了占坑的恶心方法还是干了什么。。。
zay365
头像被屏蔽
发表于 2019-11-6 09:56:23 | 显示全部楼层
本帖最后由 zay365 于 2019-11-18 16:24 编辑

http://bbs.huorong.cn/thread-63592-1-1.html
又找到一个中了这个的案例
估计这个病毒已经在他电脑里潜伏了很长时间了
更新:又一个·
http://bbs.huorong.cn/thread-63948-1-1.html
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 16:18 , Processed in 0.100586 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表