搜索
楼主: zay365
收起左侧

[病毒样本] 携带锁主页驱动的激活工具

  [复制链接]
lifan88
发表于 2020-2-13 13:33:04 | 显示全部楼层
zay365 发表于 2020-2-13 13:21
之前卡巴连PCH都删不掉的驱动都能给扒出来删掉
是哪个样本?我想看看

pch不是随便找一个锁主页的驱动都是删不掉的么。。。

评分

参与人数 1人气 +1 收起 理由
SUARP-BIGNUM + 1 感谢解答: )

查看全部评分

zay365
 楼主| 发表于 2020-2-13 13:35:08 | 显示全部楼层
lifan88 发表于 2020-2-13 13:33
pch不是随便找一个锁主页的驱动都是删不掉的么。。。

好像确实是的
frodo
发表于 2020-2-13 13:44:14 | 显示全部楼层
有时候是误报,有时候是的确有毒,这怎么区分啊
温馨小屋
发表于 2020-2-13 14:15:23 | 显示全部楼层
lifan88 发表于 2020-2-13 13:33
pch不是随便找一个锁主页的驱动都是删不掉的么。。。

本帖这个毒应该是个例外,PCH能直接把文件删掉,重启驱动就没有了
zay365
 楼主| 发表于 2020-2-13 16:11:57 | 显示全部楼层
360安全卫士不开强力模式删不掉,提示用急救箱

用急救箱当然能杀掉
火绒只报了劫持主页的驱动,其他组件没入库

是能无视保护驱动杀掉的,不知道其他文件被拉黑后能不能删掉@火绒工程师

但专杀却Miss

智量释放的5个文件全入库但没杀成功
TDSSKiller Miss
GMER Miss
之前曾杀掉没更新前的急救箱都杀不掉的Rootkit的Windows清理助手也Miss

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
zay365
 楼主| 发表于 2020-2-13 16:39:44 | 显示全部楼层
温馨小屋 发表于 2020-2-13 09:50
信任真的完蛋了

病毒运行玩,多了两个驱动,首页被改,这个文件夹资源管理器看不到,只能在PCH ...

驱动只隐藏和保护了文件,Mlxg_km文件夹直接用资源管理器就能重命名和移动
刚试了下复制文件夹只能复制出那个ini,然后我对那个文件夹剪切再往别处粘贴,结果6个文件都出来了,一看原处的文件夹就这么没了
我又返回去试了下发现这个文件夹可以被直接改名
这作者估计没想这么多
不过正好这病毒的驱动没放到系统目录下,不然就不能这么做了@lifan88 @wowocock
温馨小屋
发表于 2020-2-13 16:46:27 | 显示全部楼层
zay365 发表于 2020-2-13 16:39
驱动只隐藏和保护了文件,Mlxg_km文件夹直接用资源管理器就能重命名和移动
刚试了下复制文件夹只能复制 ...

这程序写的漏洞不小啊


就这样卡巴还看不到文件呢。。。
yjwfdc
发表于 2020-2-13 17:40:50 | 显示全部楼层
本帖最后由 yjwfdc 于 2020-2-13 17:44 编辑

win7 32实机运行了这贴的 Oem7f7


电脑管家急救箱
普通模式扫描,什么都没有找到,



电脑管家急救箱
强力模式,找到几个桌面上没运行的病毒。在后台运行的锁主页没找到。


用火绒扫不到,可能我的火绒有问题吧,最新版,

用火绒剑可以强制删除,

重启后没有了。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
lifan88
发表于 2020-2-13 18:03:59 | 显示全部楼层
yjwfdc 发表于 2020-2-13 17:40
win7 32实机运行了这贴的 Oem7f7
普通模式扫描,什么都没有找到,

自动工具被针对了吗?ida看看
yjwfdc
发表于 2020-2-13 18:12:19 | 显示全部楼层
本帖最后由 yjwfdc 于 2020-2-13 18:17 编辑
lifan88 发表于 2020-2-13 18:03
自动工具被针对了吗?ida看看

什么自动工具,电脑速度卫士吗?没有被针对。

我用的是火绒右键扫描

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2020-2-29 05:31 , Processed in 0.099376 second(s), 15 queries .

快速回复 返回顶部 返回列表