查看: 2906|回复: 20
收起左侧

[病毒样本] SF驱动木马一枚

[复制链接]
落华无痕
发表于 2019-12-4 18:01:32 | 显示全部楼层 |阅读模式
样本(infected):https://www.lanzous.com/i7u93mb

评分

参与人数 1人气 +1 收起 理由
www-tekeze + 1 版区有你更精彩: )

查看全部评分

lifan88
发表于 2019-12-4 18:43:53 | 显示全部楼层
本帖最后由 lifan88 于 2019-12-4 23:32 编辑

占位测试,母体呢?  求置顶
0,测试结果: 加载后自删除复制到drivers下,劫持drmk.sys,直接强行穿透火绒的防御和火绒剑控制lsass.exe,svchost.exe,explorer.exe,用lsass.exe自动更新。。。
PS:重启劫持pci.sys,PCH/火绒剑只能破坏除了pci.sys的cmpcallback和pci.sys的内核线程之外的其他内核项(可以破坏掉shutdown/fsnotify/createprocess/loadimage/tdx设备/IAT内核钩子)。。。结果还是无法暂停System疯狂自检自身注册表的行为。。。现在开始能勉强免疫pch了。。。
PS:在找rootkit的句柄的时候被强制重启,重启改成劫持beep.sys。。。
PS:TDSSKILLER杀了重启复活,劫持没变。。。但是gmer还是能看见隐藏驱动,但是驱动文件不见了(应该是被TDSSKILLER干死了),此时用先用火绒剑修复全部beep.sys的IAT钩子,PCH删回调删设备,暂停内核线程,发现线程和cmpcallback还是搞不掉,然后试图结束beep线程直接蓝屏,重启后rootkit挂了





1,测试条件:Vmware-win8.1x64-pro
2,测试方法:修改文件名为XD.sys,加驱工具load
3,关键词解释
SYS_regsrv:注册服务
SYS_load_kmod:加载内核模块
SYS_enumproc:枚举进程
SYS_opendev:打开设备

REG_openkey:打开注册表项
REG_getval:获取注册表键值
REG_mkkey:创建注册表项
REG_setval:设置注册表项值
REG_rmval:删除注册表键值
REG_rmkey:删除注册表键

FILE_open:打开文件
FILE_touch:创建文件
FILE_truncate:截断文件
FILE_write:写文件
FILE_chmod:设置文件属性
FILE_modified:文件被修改
FILE_remove:删除文件
BA_exec_extratedfile:启动自释放文件

PROC_exec:创建进程
PROC_open:打开进程
PROC_readvm:跨进程读内存
PROC_writevm:跨进程写内存
PROC_pgprot:跨进程修改内存属性
THRD_setctxt:跨进程设置线程上下文
THRD_resume:跨进程恢复线程
EXEC_create:进程启动
EXEC_destroy:进程退出


NET_connect:网络连接
NET_send:发送数据包
NET_http:HTTP请求

4,火绒剑监控

20:11:10:892,        加驱用.exe,        2944:1272,        2944,        SYS_regsrv,        C:\Users\j8qq_000\Desktop\XD.sys,        access:0x000F01FF type:0x00000001 start_type:0x00000003 srvname:'XD_Service' ,        0x00000000 [操作成功完成。  ],        

20:11:28:612,        services.exe,        544:2516,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\XD_Service,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],        
20:11:28:665,        System,        4:216,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\XD_Service,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],        

20:11:28:673,        System,        4:216,        0,        FILE_open,        C:\Users\j8qq_000\Desktop\XD.sys,        access:0x00000020 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000000 ,        0x00000000 [操作成功完成。  ],        

20:11:28:782,        System,        4:216,        0,        FILE_open,        C:\Windows\apppatch\drvmain.sdb,        access:0x00120089 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000000 ,        0x00000000 [操作成功完成。  ],        

20:11:29:118,        System,        4:216,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters,        access:0x000F003F ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],        

20:11:29:118,        System,        4:216,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters,        access:0x000F003F ,        0x00000000 [操作成功完成。  ],        

20:11:29:118,        System,        4:216,        0,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Hostname,        type:0x00000001 datalen:8 data:'68 00 68 00 68 00 00 00 ' ,        0x00000000 [操作成功完成。  ],        

20:11:29:126,        services.exe,        544:2516,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\XD_Service,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],        
20:11:29:126,        加驱用.exe,        2944:1272,        2944,        SYS_load_kmod,        C:\Users\j8qq_000\Desktop\XD.sys,        ,        0x00000000 [操作成功完成。  ],        

20:11:29:126,        System,        4:2444,        0,        FILE_open,        C:\Users\j8qq_000\Desktop\XD.sys,        access:0x00120089 alloc_size:0 attrib:0x00000080 share_access:0x00000001 disposition:0x00000001 options:0x00000068 ,        0x00000000 [操作成功完成。  ],        


20:11:29:251,        System,        4:2444,        0,        FILE_touch,        C:\Windows\System32\drivers\GuIwaDcF.sys,        access:0x00120116 alloc_size:0 attrib:0x00000080 share_access:0x00000002 disposition:0x00000002 options:0x00000068 ,        0x00000000 [操作成功完成。  ],        

20:11:29:251,        System,        4:2444,        0,        FILE_write,        C:\Windows\System32\drivers\GuIwaDcF.sys,        offset:0x00000000 datalen:0x00002000 ,        0x00000000 [操作成功完成。  ],        

20:11:29:376,        System,        4:2444,        0,        FILE_modified,        C:\Windows\System32\drivers\GuIwaDcF.sys,        ,        0x00000000 [操作成功完成。  ],        

20:11:29:376,        System,        4:2444,        0,        FILE_open,        C:\Users\j8qq_000\Desktop\XD.sys,        access:0x00010000 alloc_size:0 attrib:0x00000000 share_access:0x00000007 disposition:0x00000001 options:0x00001000 ,        0x00000000 [操作成功完成。  ],        

20:11:29:376,        System,        4:2444,        0,        FILE_remove,        C:\Users\j8qq_000\Desktop\XD.sys,        ,        0x00000000 [操作成功完成。  ],        

20:11:29:376,        System,        4:2444,        0,        FILE_open,        C:\Windows\System32\drivers\GuIwaDcF.sys,        access:0x00120089 alloc_size:0 attrib:0x00000080 share_access:0x00000001 disposition:0x00000001 options:0x00000068 ,        0x00000000 [操作成功完成。  ],        

接下来是丧心病狂的注册表操作。。。

20:11:29:501,        System,        4:2444,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ServiceGroupOrder,        access:0x000F003F ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],        

20:11:29:501,        System,        4:2444,        0,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ServiceGroupOrder\List,        type:0x00000007 datalen:2234 data:'53 00 79 00 73 00 74 00 65 00 6D 00 20 00 52 00 ' ,        0x00000000 [操作成功完成。  ],        

20:11:29:501,        System,        4:2444,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\GroupOrderList,        access:0x000F003F ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],        

20:11:29:501,        System,        4:2444,        0,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\GroupOrderList\System Reserved,        type:0x00000003 datalen:8 data:'01 00 00 00 8B 95 FF FF ' ,        0x00000000 [操作成功完成。  ],        

20:11:29:501,        System,        4:2444,        0,        REG_mkkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\fIwKycFe,        access:0x000F003F ,        0x00000000 [操作成功完成。  ],        

20:11:29:501,        System,        4:2444,        0,        REG_setval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\fIwKycFe\Type,        type:0x00000004 datalen:4 data:'01 00 00 00 ' ,        0x00000000 [操作成功完成。  ],        

20:11:29:501,        System,        4:2444,        0,        REG_setval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\fIwKycFe\Start,        type:0x00000004 datalen:4 data:'00 00 00 00 ' ,        0x00000000 [操作成功完成。  ],        

20:11:29:501,        System,        4:2444,        0,        REG_setval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\fIwKycFe\ErrorControl,        type:0x00000004 datalen:4 data:'01 00 00 00 ' ,        0x00000000 [操作成功完成。  ],        

20:11:29:501,        System,        4:2444,        0,        REG_setval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\fIwKycFe\Tag,        type:0x00000004 datalen:4 data:'50 FF FF FF ' ,        0x00000000 [操作成功完成。  ],        

20:11:29:501,        System,        4:2444,        0,        REG_setval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\fIwKycFe\Group,        type:0x00000001 datalen:32 data:'53 79 73 74 65 6D 20 52 65 73 65 72 76 65 64 00 ' ,        0x00000000 [操作成功完成。  ],        

20:11:29:501,        System,        4:2444,        0,        REG_setval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\fIwKycFe\DisplayName,        type:0x00000001 datalen:18 data:'66 49 77 4B 79 63 46 65 00 ' ,        0x00000000 [操作成功完成。  ],        

20:11:29:501,        System,        4:2444,        0,        REG_setval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\fIwKycFe\ImagePath,        type:0x00000002 datalen:60 data:'73 79 73 74 65 6D 33 32 5C 64 72 69 76 65 72 73 ' ,        0x00000000 [操作成功完成。  ],        

20:11:29:501,        System,        4:2444,        0,        REG_mkkey,        HKEY_LOCAL_MACHINE\SYSTEM\ControlSet002\services\fIwKycFe,        access:0x000F003F ,        0xC0000034 [系统找不到指定的文件。  ],        
20:11:29:501,        System,        4:2444,        0,        REG_mkkey,        HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\services\fIwKycFe,        access:0x000F003F ,        0xC0000034 [系统找不到指定的文件。  ],        
20:11:29:501,        System,        4:2444,        0,        REG_mkkey,        HKEY_LOCAL_MACHINE\SYSTEM\ControlSet004\services\fIwKycFe,        access:0x000F003F ,        0xC0000034 [系统找不到指定的文件。  ],        
20:11:29:501,        System,        4:2444,        0,        REG_mkkey,        HKEY_LOCAL_MACHINE\SYSTEM\ControlSet005\services\fIwKycFe,        access:0x000F003F ,        0xC0000034 [系统找不到指定的文件。  ],        
20:11:29:501,        System,        4:2444,        0,        REG_mkkey,        HKEY_LOCAL_MACHINE\SYSTEM\ControlSet006\services\fIwKycFe,        access:0x000F003F ,        0xC0000034 [系统找不到指定的文件。  ],        
20:11:29:501,        System,        4:2444,        0,        REG_mkkey,        HKEY_LOCAL_MACHINE\SYSTEM\ControlSet007\services\fIwKycFe,        access:0x000F003F ,        0xC0000034 [系统找不到指定的文件。  ],        
20:11:29:501,        System,        4:2444,        0,        REG_mkkey,        HKEY_LOCAL_MACHINE\SYSTEM\ControlSet008\services\fIwKycFe,        access:0x000F003F ,        0xC0000034 [系统找不到指定的文件。  ],        
20:11:29:501,        System,        4:2444,        0,        REG_mkkey,        HKEY_LOCAL_MACHINE\SYSTEM\ControlSet009\services\fIwKycFe,        access:0x000F003F ,        0xC0000034 [系统找不到指定的文件。  ],        

20:11:29:501,        System,        4:2444,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\XD_Service,        access:0x000F003F ,        0x00000000 [操作成功完成。  ],        
删除了原来的注册表
20:11:29:501,        System,        4:2444,        0,        REG_rmkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\XD_Service,        ,        0x00000000 [操作成功完成。  ],        

20:11:29:501,        System,        4:2444,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\fIwKycFe,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],        


直接控制lsass进行联网更新。。。

20:11:29:532,        lsass.exe,        560:568,        0,        FILE_open,        C:\Windows\System32\winhttp.dll,        access:0x00100021 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 ,        0x00000000 [操作成功完成。  ],        


20:11:29:532,        svchost.exe,        624:628,        0,        FILE_open,        C:\Windows\System32\winhttp.dll,        access:0x00100021 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 ,        0x00000000 [操作成功完成。  ],
        
20:11:29:532,        lsass.exe,        560:568,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],        

20:11:29:532,        lsass.exe,        560:568,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],        

20:11:29:532,        lsass.exe,        560:568,        0,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Hostname,        type:0x00000001 datalen:8 data:'68 00 68 00 68 00 00 00 ' ,        0x00000000 [操作成功完成。  ],        

20:11:29:626,        System,        4:216,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\SYSTEM\HvYxbE,        access:0x000F003F ,        0xC0000383 [该操作需要一个智能卡,但设备中目前没有智能卡。  ],        

20:11:29:626,        System,        4:216,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ServiceGroupOrder,        access:0x000F003F ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],        

20:11:29:626,        System,        4:216,        0,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ServiceGroupOrder\List,        type:0x00000007 datalen:2234 data:'53 00 79 00 73 00 74 00 65 00 6D 00 20 00 52 00 ' ,        0x00000000 [操作成功完成。  ],        

20:11:29:626,        System,        4:216,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\GroupOrderList,        access:0x000F003F ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],        

20:11:29:626,        System,        4:216,        0,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\GroupOrderList\System Reserved,        type:0x00000003 datalen:8 data:'01 00 00 00 50 FF FF FF ' ,        0x00000000 [操作成功完成。  ],        

开始联网。。。

20:11:35:711,        svchost.exe,        540:1484,        0,        NET_connect,        114.114.114.114:53,        protocol:(UDP)1 ,        0x00000000 [操作成功完成。  ],        

20:11:35:736,        lsass.exe,        560:3860,        0,        REG_mkkey,        HKEY_LOCAL_MACHINE\SOFTWARE\PCID,        access:0x0002001F ,        0x00000000 [操作成功完成。  ],        

20:11:35:736,        lsass.exe,        560:3860,        0,        REG_getval,        HKEY_LOCAL_MACHINE\SOFTWARE\PCID\id,        type:0x00000001 datalen:76 data:'7B 00 35 00 38 00 66 00 66 00 64 00 31 00 61 00 ' ,        0x00000000 [操作成功完成。  ],        

20:11:35:736,        lsass.exe,        560:3860,        0,        REG_setval,        HKEY_LOCAL_MACHINE\SOFTWARE\PCID\id,        type:0x00000001 datalen:78 data:'7B 34 44 43 35 39 44 30 35 2D 37 34 35 44 2D 34 ' ,        0x00000000 [操作成功完成。  ],        

20:11:35:736,        lsass.exe,        560:3860,        0,        REG_mkkey,        HKEY_LOCAL_MACHINE\SOFTWARE\PCID,        access:0x0002001F ,        0x00000000 [操作成功完成。  ],        

20:11:35:782,        lsass.exe,        560:3860,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\VMware, Inc.\VMware Tools,        access:0x00000001 ,        0x00000000 [操作成功完成。  ],        

20:11:35:782,        lsass.exe,        560:3860,        0,        REG_mkkey,        HKEY_LOCAL_MACHINE\SOFTWARE\PCID,        access:0x0002001F ,        0x00000000 [操作成功完成。  ],        

20:11:35:782,        lsass.exe,        560:3860,        0,        REG_setval,        HKEY_LOCAL_MACHINE\SOFTWARE\PCID\InstallDate,        type:0x00000004 datalen:4 data:'77 A2 E7 5D ' ,        0x00000000 [操作成功完成。  ],        

20:11:35:829,        lsass.exe,        560:1816,        0,        NET_connect,        125.124.255.145:12309,        protocol:(TCP)0 ,        0x00000000 [操作成功完成。  ],        
20:11:36:724,        System,        4:216,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\SYSTEM\HvYxbE,        access:0x000F003F ,        0xC0000383 [该操作需要一个智能卡,但设备中目前没有智能卡。  ],        

20:11:46:988,        lsass.exe,        560:1816,        0,        NET_connect,        125.124.255.145:12310,        protocol:(TCP)0 ,        0x00000000 [操作成功完成。  ],        

20:11:49:521,        lsass.exe,        560:3860,        0,        NET_send,        125.124.255.145:12310,        protocol:(TCP)0 datalen:37 data:'15 03 01 00 20 BC 39 DE 08 E2 15 C2 77 9C DA A7 ' ,        0x00000000 [操作成功完成。  ],        

20:11:49:537,        lsass.exe,        560:1816,        0,        NET_connect,        101.89.128.48:80,        protocol:(TCP)0 ,        0x00000000 [操作成功完成。  ],
        
20:11:49:537,        lsass.exe,        560:1816,        0,        NET_http,        imgsrc.baidu.com/tieba/pic/item/faedab64034f78f0e2957d8d76310a55b3191c35.jpg,        protocol:(TCP)0 cmd:'GET' datalen:220 ,        0x00000000 [操作成功完成。  ],        


20:11:49:537,        lsass.exe,        560:1816,        0,        NET_send,        101.89.128.48:80,        protocol:(TCP)0 datalen:220 data:'47 45 54 20 2F 74 69 65 62 61 2F 70 69 63 2F 69 ' ,        0x00000000 [操作成功完成。  ],        


20:11:49:720,        lsass.exe,        560:3860,        0,        NET_http,        imgsrc.baidu.com/tieba/pic/item/adaf2edda3cc7cd9159bd3a73601213fb80e911e.jpg,        protocol:(TCP)0 cmd:'GET' datalen:220 ,        0x00000000 [操作成功完成。  ],        


20:11:49:720,        lsass.exe,        560:3860,        0,        NET_send,        101.89.128.48:80,        protocol:(TCP)0 datalen:220 data:'47 45 54 20 2F 74 69 65 62 61 2F 70 69 63 2F 69 ' ,        0x00000000 [操作成功完成。  ],        

20:11:49:861,        lsass.exe,        560:3860,        0,        NET_http,        imgsrc.baidu.com/tieba/pic/item/a2cc7cd98d1001e9a38af371b70e7bec54e7971e.jpg,        protocol:(TCP)0 cmd:'GET' datalen:220 ,        0x00000000 [操作成功完成。  ],        

20:11:49:861,        lsass.exe,        560:3860,        0,        NET_send,        101.89.128.48:80,        protocol:(TCP)0 datalen:220 data:'47 45 54 20 2F 74 69 65 62 61 2F 70 69 63 2F 69 ' ,        0x00000000 [操作成功完成。  ],        

20:11:51:131,        System,        4:2008,        0,        FILE_open,        C:\Windows\System32\drivers\GuIwaDcF.sys,        access:0x00010000 alloc_size:0 attrib:0x00000000 share_access:0x00000007 disposition:0x00000001 options:0x00001000 ,        0x00000000 [操作成功完成。  ],        

自动更新把自己换了
20:11:51:131,        System,        4:2008,        0,        FILE_remove,        C:\Windows\System32\drivers\GuIwaDcF.sys,        ,        0x00000000 [操作成功完成。  ],        

20:11:51:131,        System,        4:2008,        0,        FILE_touch,        C:\Windows\System32\drivers\GuIwaDcF.sys,        access:0x00120116 alloc_size:0 attrib:0x00000080 share_access:0x00000002 disposition:0x00000002 options:0x00000068 ,        0x00000000 [操作成功完成。  ],        

20:11:51:131,        System,        4:2008,        0,        FILE_write,        C:\Windows\System32\drivers\GuIwaDcF.sys,        offset:0x00000000 datalen:0x00002000 ,        0x00000000 [操作成功完成。  ],        

20:11:51:173,        System,        4:2008,        0,        FILE_modified,        C:\Windows\System32\drivers\GuIwaDcF.sys,        ,        0x00000000 [操作成功完成。  ],        

20:11:51:173,        System,        4:2008,        0,        FILE_open,        C:\Windows\System32\drivers\GuIwaDcF.sys,        access:0x00120089 alloc_size:0 attrib:0x00000080 share_access:0x00000001 disposition:0x00000001 options:0x00000068 ,        0x00000000 [操作成功完成。  ],        

20:11:51:251,        System,        4:2008,        0,        FILE_open,        C:\Windows\System32\drivers\GuIwaDcF.sys,        access:0x00120089 alloc_size:0 attrib:0x00000080 share_access:0x00000001 disposition:0x00000001 options:0x00000068 ,        0x00000000 [操作成功完成。  ],        

20:11:51:251,        lsass.exe,        560:3860,        0,        NET_http,        imgsrc.baidu.com/tieba/pic/item/0823dd54564e9258123661909382d158ccbf4e4a.jpg,        protocol:(TCP)0 cmd:'GET' datalen:220 ,        0x00000000 [操作成功完成。  ],        

20:11:51:251,        lsass.exe,        560:3860,        0,        NET_send,        101.89.128.48:80,        protocol:(TCP)0 datalen:220 data:'47 45 54 20 2F 74 69 65 62 61 2F 70 69 63 2F 69 ' ,        0x00000000 [操作成功完成。  ],        

20:11:51:298,        lsass.exe,        560:3860,        0,        NET_http,        imgsrc.baidu.com/tieba/pic/item/3bf33a87e950352ab8d7c2765c43fbf2b2118b1e.jpg,        protocol:(TCP)0 cmd:'GET' datalen:220 ,        0x00000000 [操作成功完成。  ],        

20:11:51:298,        lsass.exe,        560:3860,        0,        NET_send,        101.89.128.48:80,        protocol:(TCP)0 datalen:220 data:'47 45 54 20 2F 74 69 65 62 61 2F 70 69 63 2F 69 ' ,        0x00000000 [操作成功完成。  ],        

20:11:51:470,        lsass.exe,        560:3860,        0,        NET_http,        imgsrc.baidu.com/tieba/pic/item/e850352ac65c1038d3c829bcbd119313b07e891e.jpg,        protocol:(TCP)0 cmd:'GET' datalen:220 ,        0x00000000 [操作成功完成。  ],        

20:11:51:470,        lsass.exe,        560:3860,        0,        NET_send,        101.89.128.48:80,        protocol:(TCP)0 datalen:220 data:'47 45 54 20 2F 74 69 65 62 61 2F 70 69 63 2F 69 ' ,        0x00000000 [操作成功完成。  ],        

20:11:51:611,        lsass.exe,        560:3860,        0,        NET_http,        imgsrc.baidu.com/tieba/pic/item/d043ad4bd11373f08fa188e1ab0f4bfbfbed0435.jpg,        protocol:(TCP)0 cmd:'GET' datalen:220 ,        0x00000000 [操作成功完成。  ],        

20:11:51:611,        lsass.exe,        560:3860,        0,        NET_send,        101.89.128.48:80,        protocol:(TCP)0 datalen:220 data:'47 45 54 20 2F 74 69 65 62 61 2F 70 69 63 2F 69 ' ,        0x00000000 [操作成功完成。  ],        

20:11:51:626,        svchost.exe,        624:628,        0,        FILE_open,        C:\Windows\System32\winmm.dll,        access:0x00100021 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 ,        0x00000000 [操作成功完成。  ],        

20:11:51:626,        svchost.exe,        624:628,        0,        FILE_open,        C:\Windows\System32\winmmbase.dll,        access:0x00100021 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 ,        0x00000000 [操作成功完成。  ],        

20:11:51:642,        svchost.exe,        624:628,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Session Manager,        access:0x00000009 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],        

20:11:51:673,        svchost.exe,        624:1128,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],        

20:11:51:673,        svchost.exe,        624:1128,        0,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Hostname,        type:0x00000001 datalen:8 data:'68 00 68 00 68 00 00 00 ' ,        0x00000000 [操作成功完成。  ],        

20:11:51:673,        svchost.exe,        624:1128,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\PCID,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],        

20:11:51:673,        svchost.exe,        624:1128,        0,        REG_getval,        HKEY_LOCAL_MACHINE\SOFTWARE\PCID\id,        type:0x00000001 datalen:78 data:'7B 00 34 00 44 00 43 00 35 00 39 00 44 00 30 00 ' ,        0x00000000 [操作成功完成。  ],        

20:11:51:673,        svchost.exe,        624:1128,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],        

20:11:51:673,        svchost.exe,        624:1128,        0,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters\Hostname,        type:0x00000001 datalen:8 data:'68 00 68 00 68 00 00 00 ' ,        0x00000000 [操作成功完成。  ],        

20:11:51:691,        svchost.exe,        624:1128,        0,        FILE_open,        C:\Windows\System32\netsh.exe,        access:0x001000A1 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000060 ,        0x00000000 [操作成功完成。  ],        

20:11:51:739,        lsass.exe,        560:3860,        0,        NET_http,        imgsrc.baidu.com/tieba/pic/item/cb8065380cd791231e56730aa2345982b2b7801e.jpg,        protocol:(TCP)0 cmd:'GET' datalen:220 ,        0x00000000 [操作成功完成。  ],        

20:11:51:739,        lsass.exe,        560:3860,        0,        NET_send,        101.89.128.48:80,        protocol:(TCP)0 datalen:220 data:'47 45 54 20 2F 74 69 65 62 61 2F 70 69 63 2F 69 ' ,        0x00000000 [操作成功完成。  ],        

20:11:51:752,        Explorer.EXE,        1164:1964,        0,        REG_openkey,        HKEY_CURRENT_USER\SOFTWARE\PCID,        access:0x000F003F ,        0xC0000034 [系统找不到指定的文件。  ],        

20:11:51:752,        Explorer.EXE,        1164:1964,        0,        REG_mkkey,        HKEY_CURRENT_USER\SOFTWARE\PCID,        access:0x000F003F ,        0x00000000 [操作成功完成。  ],        

20:11:51:752,        Explorer.EXE,        1164:1964,        0,        REG_setval,        HKEY_CURRENT_USER\Software\PCID\id,        type:0x00000001 datalen:78 data:'7B 45 43 44 35 42 38 42 39 2D 33 35 37 33 2D 34 ' ,        0x00000000 [操作成功完成。  ],        

三连控制
20:11:57:352,        Explorer.EXE,        1164:1964,        0,        SYS_opendev,        \Device\Afd,        devtype:17 access:0xC0140000 share:0x00000003 ,        0x00000000 [操作成功完成。  ],        


20:11:57:352,        Explorer.EXE,        1164:1964,        0,        NET_connect,        125.124.255.83:8889,        protocol:(TCP)0 ,        0x00000000 [操作成功完成。  ],        


20:11:57:383,        Explorer.EXE,        1164:1964,        0,        NET_http,        white.fei46413.com:8889/stat2.ashx,        protocol:(TCP)0 cmd:'POST' datalen:271 ,        0x00000000 [操作成功完成。  ],        



太猛了。。。最后火绒剑里面一直在刷屏自检查。。。
21:23:59:065,        System,        4:156,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ServiceGroupOrder,        access:0x000F003F ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],        

21:23:59:065,        System,        4:156,        0,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\ServiceGroupOrder\List,        type:0x00000007 datalen:2234 data:'53 00 79 00 73 00 74 00 65 00 6D 00 20 00 52 00 ' ,        0x00000000 [操作成功完成。  ],        

21:23:59:065,        System,        4:156,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\GroupOrderList,        access:0x000F003F ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],        

21:23:59:065,        System,        4:156,        0,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\GroupOrderList\System Reserved,        type:0x00000003 datalen:8 data:'01 00 00 00 50 FF FF FF ' ,        0x00000000 [操作成功完成。  ],        

21:23:59:065,        System,        4:156,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\V9nQ4iLz,        access:0x000F003F ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],        

21:23:59:065,        System,        4:156,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\V9nQ4iLz,        access:0x000F003F ,        0x00000000 [操作成功完成。  ],        

21:23:59:065,        System,        4:156,        0,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\V9nQ4iLz\Type,        type:0x00000004 datalen:4 data:'01 00 00 00 ' ,        0x00000000 [操作成功完成。  ],        

21:23:59:065,        System,        4:156,        0,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\V9nQ4iLz\Start,        type:0x00000004 datalen:4 data:'00 00 00 00 ' ,        0x00000000 [操作成功完成。  ],        

21:23:59:065,        System,        4:156,        0,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\V9nQ4iLz\ErrorControl,        type:0x00000004 datalen:4 data:'01 00 00 00 ' ,        0x00000000 [操作成功完成。  ],        

21:23:59:065,        System,        4:156,        0,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\V9nQ4iLz\Tag,        type:0x00000004 datalen:4 data:'50 FF FF FF ' ,        0x00000000 [操作成功完成。  ],        

21:23:59:065,        System,        4:156,        0,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\V9nQ4iLz\Group,        type:0x00000001 datalen:32 data:'53 00 79 00 73 00 74 00 65 00 6D 00 20 00 52 00 ' ,        0x00000000 [操作成功完成。  ],
        
21:23:59:065,        System,        4:156,        0,        REG_getval,
        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\V9nQ4iLz\DisplayName,        type:0x00000001 datalen:18 data:'56 00 39 00 6E 00 51 00 34 00 69 00 4C 00 7A 00 ' ,        0x00000000 [操作成功完成。  ],        

21:23:59:065,        System,        4:156,        0,        REG_getval,
        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\V9nQ4iLz\ImagePath,        type:0x00000002 datalen:60 data:'73 00 79 00 73 00 74 00 65 00 6D 00 33 00 32 00 ' ,        0x00000000 [操作成功完成。  ],        

在百般摧残的情况下,注册表依然坚持到了最后。。。文件都没了。。







本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +3 收起 理由
落华无痕 + 3 版区有你更精彩: )

查看全部评分

a233
发表于 2019-12-4 18:10:53 | 显示全部楼层
AVG miss
aboringman
发表于 2019-12-4 18:15:44 | 显示全部楼层
KIS:killed.

HEUR:Trojan.Multi.Aiqiya.gen


liu237
发表于 2019-12-4 18:19:58 | 显示全部楼层
sepmiss
ttdown
发表于 2019-12-4 18:40:31 | 显示全部楼层
红伞 APC 杀 :HEUR/APC


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
jdsh
发表于 2019-12-4 18:47:39 | 显示全部楼层
Emsisoft Anti-Malware    miss

WD




本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
天才樱木
发表于 2019-12-4 20:43:41 | 显示全部楼层
fsp miss
杀软病综合医院
发表于 2019-12-4 21:17:01 | 显示全部楼层
智量监控

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
lifan88
发表于 2019-12-4 21:39:07 | 显示全部楼层
本帖最后由 lifan88 于 2019-12-4 21:40 编辑

你看看我的测试结果吧在百般摧残的情况下,注册表依然坚持到了最后。。。文件都没了。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 05:39 , Processed in 0.144280 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表