昨天客户在制作复工资料时中的毒。过智量

yjwfdc

www-tekeze 发表于 2020-2-18 14:11
那不知道，反正我不会上传后才来回帖。。    还希望是exe正想玩双击。。。

上传也正常，可能是官人上传的，玩双击玩最后一个，加个.exe试试。64位程序，我的32位电脑运行不了。

想中第一个毒，要加驱工具，第二个应该是第一个驱动生成的文件，加载入explorer.exe时出错，可能要用win10才不出错。

www-tekeze

yjwfdc 发表于 2020-2-18 14:19
上传也正常，可能是官人上传的，玩双击玩最后一个，加个.exe试试。64位程序，我的32位电脑运行不了。

...

先就恢复后缀看了，像个exe，but 。。   也带数签。
第一个sys肯定得加驱工具啊，太累，不玩。。    艾特下。。。@lifan88

www-tekeze

安天Miss All，无BD管家杀第三个 (和火绒相同)。

LSPD

Norton miss all

lifan88

www-tekeze 发表于 2020-2-18 14:22
先就恢复后缀看了，像个exe，but 。。   也带数签。
第一个sys肯定得加驱工具啊，太累，不玩。。[ ...

我来了

lifan88

占楼，先把我虚拟机的诡异rootkit干死再说
2020-2-19终于干死了，修好了虚拟机
楼主求顶置

那个PE文件是加了VMP的驱动，我还没测试

另一个Ht Srl签名驱动应该是一个负责联网和DLL加载的loader，没有看到其他行为，就联一下网，创建dll和加密内容的data，然后应该是利用ZwTestAlert把dll无特征送进explorer，最后无钩子锁死加载驱动的当前目录...(注入方式和火绒非常相似，估计都是从github上某源码直接弄过来的)：
[ANSI] 0x0000a04c: 烫烫ZwProtectVirtualMemory
[ANSI] 0x0000a068: 烫烫烫烫LdrLoadDll
[ANSI] 0x0000a07c: 烫烫ZwTestAlert


测试条件：VM-Win10-x64-1709
加载驱动后动作：

11:45:25:969,        System,        4:340,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EzVIzLjF_Service,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接，所以需由对象管理器重新运行分析操作。  ],        

11:45:25:969,        System,        4:340,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EzVIzLjF_Service,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],        

11:45:25:969,        System,        4:340,        0,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EzVIzLjF_Service\ImagePath,        type:0x00000002 datalen:82 data:'5C 00 3F 00 3F 00 5C 00 43 00 3A 00 5C 00 55 00 ' ,        0x00000000 [操作成功完成。  ],        

11:45:25:969,        System,        4:340,        0,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EzVIzLjF_Service\Type,        type:0x00000004 datalen:4 data:'01 00 00 00 ' ,        0x00000000 [操作成功完成。  ],        

11:45:25:969,        System,        4:340,        0,        FILE_open,        C:\Users\\Desktop\EzVIzLjF.sys,        access:0x00000020 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000000 ,        0x00000000 [操作成功完成。  ],        

11:45:25:969,        System,        4:340,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Compatibility\Driver\EzVIzLjF.sys,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接，所以需由对象管理器重新运行分析操作。  ],        

11:45:25:969,        System,        4:340,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Compatibility\Driver\EzVIzLjF.sys,        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],        

11:45:25:969,        System,        4:340,        0,        FILE_open,        C:\Windows\apppatch\drvmain.sdb,        access:0x00120089 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000000 ,        0x00000000 [操作成功完成。  ],        

11:45:25:984,        System,        4:340,        0,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EzVIzLjF_Service\ImagePath,        type:0x00000002 datalen:82 data:'5C 00 3F 00 3F 00 5C 00 43 00 3A 00 5C 00 55 00 ' ,        0x00000000 [操作成功完成。  ],        

11:45:25:984,        System,        4:340,        0,        FILE_open,        C:\Windows\apppatch\drvmain.sdb,        access:0x00120089 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000000 ,        0x00000000 [操作成功完成。  ],        

11:45:25:984,        System,        4:340,        0,        FILE_open,        C:\Users\\Desktop\EzVIzLjF.sys,        access:0x00120089 alloc_size:0 attrib:0x00000080 share_access:0x00000005 disposition:0x00000001 options:0x00000060 ,        0x00000000 [操作成功完成。  ],        

11:45:25:984,        System,        4:340,        0,        REG_setval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EzVIzLjF_Service\ia,        type:0x00000004 datalen:4 data:'01 00 00 00 ' ,        0x00000000 [操作成功完成。  ],        

11:45:25:984,        System,        4:340,        0,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EzVIzLjF_Service\ImagePath,        type:0x00000002 datalen:82 data:'5C 00 3F 00 3F 00 5C 00 43 00 3A 00 5C 00 55 00 ' ,        0x00000000 [操作成功完成。  ],        

11:45:25:984,        services.exe,        680:1100,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EzVIzLjF_Service,        access:0x00080000 ,        0xC0000022 [拒绝访问。  ],        
11:45:25:984,        加驱用.exe,        844:4432,        844,        SYS_load_kmod,        C:\Users\\Desktop\EzVIzLjF.sys,        ,        0xC0000001 [连到系统上的设备没有发挥作用。  ],        （实际已经送进内核了，也导致桌面隐藏并且锁死了，无任何钩子。。。）

11:45:25:984,        System,        4:2328,        0,        NET_connect,        144.48.141.137:12588,        protocol:(TCP)0 ,        0x00000000 [操作成功完成。  ],        

11:45:25:984,        System,        4:2588,        0,        FILE_touch,        C:\Users\\Desktop\EzVIzLjF.dll,        access:0x00120116 alloc_size:0 attrib:0x00000080 share_access:0x00000002 disposition:0x00000005 options:0x00000020 ,        0x00000000 [操作成功完成。  ],        

11:45:25:984,        System,        4:2588,        0,        FILE_truncate,        C:\Users\\Desktop\EzVIzLjF.dll,        eof:0x00000000 ,        0x00000000 [操作成功完成。  ],        

11:45:25:984,        System,        4:2588,        0,        FILE_write,        C:\Users\\Desktop\EzVIzLjF.dll,        offset:0x00000000 datalen:0x000C0400 ,        0x00000000 [操作成功完成。  ],        

11:45:25:984,        System,        4:2588,        0,        FILE_modified,        C:\Users\\Desktop\EzVIzLjF.dll,        ,        0x00000000 [操作成功完成。  ],        

11:45:26:031,        System,        4:2328,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],        

11:45:26:031,        System,        4:2328,        0,        REG_getval,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate,        type:0x00000004 datalen:4 data:'8E AF 00 5E ' ,        0x00000000 [操作成功完成。  ],        

11:45:26:031,        System,        4:2328,        0,        REG_getval,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate,        type:0x00000004 datalen:4 data:'8E AF 00 5E ' ,        0x00000000 [操作成功完成。  ],        

11:45:26:031,        System,        4:2328,        0,        NET_send,        144.48.141.137:12588,        protocol:(TCP)0 datalen:281 data:'47 45 54 20 2F 53 65 72 76 65 72 2F 3F 62 77 6A ' ,        0x00000000 [操作成功完成。  ],        

11:45:26:328,        System,        4:2328,        0,        FILE_touch,        C:\Users\\Desktop\EzVIzLjF.data,        access:0x00120116 alloc_size:0 attrib:0x00000080 share_access:0x00000002 disposition:0x00000005 options:0x00000020 ,        0x00000000 [操作成功完成。  ],        

11:45:26:328,        System,        4:2328,        0,        FILE_truncate,        C:\Users\\Desktop\EzVIzLjF.data,        eof:0x00000000 ,        0x00000000 [操作成功完成。  ],        

11:45:26:328,        System,        4:2328,        0,        FILE_write,        C:\Users\\Desktop\EzVIzLjF.data,        offset:0x00000000 datalen:0x000006B0 ,        0x00000000 [操作成功完成。  ],        

11:45:26:328,        System,        4:2328,        0,        FILE_modified,        C:\Users\\Desktop\EzVIzLjF.data,        ,        0x00000000 [操作成功完成。  ],        

11:45:26:359,        SearchIndexer.exe,        1548:4000,        0,        REG_openkey,        HKEY_CLASSES_ROOT\.data,        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],        （系统此时已经发现有data创建，然而读不到文件）

11:45:26:359,        System,        4:2328,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control,        access:0x000F003F ,        0x00000104 [因为文件名产生符号链接，所以需由对象管理器重新运行分析操作。  ],        

11:45:26:359,        System,        4:2328,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control,        access:0x000F003F ,        0x00000000 [操作成功完成。  ],        

11:45:26:359,        System,        4:2328,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\,        access:0x000F003F ,        0x00000000 [操作成功完成。  ],        

11:45:26:359,        System,        4:2328,        0,        REG_setval,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA,        type:0x00000004 datalen:4 data:'00 00 00 00 ' ,        0x00000000 [操作成功完成。  ],        

11:45:27:015,        Explorer.EXE,        4076:4360,        0,        FILE_open,        C:\Users\\Desktop\EzVIzLjF.dll,        access:0x00100080 alloc_size:0 attrib:0x00000080 share_access:0x00000007 disposition:0x00000001 options:0x00000020 ,        0x00000000 [操作成功完成。  ],        


11:45:27:015,        Explorer.EXE,        4076:4360,        0,        FILE_open,        C:\Users\\Desktop\EzVIzLjF.dll,        access:0x00100080 alloc_size:0 attrib:0x00000080 share_access:0x00000007 disposition:0x00000001 options:0x00000020 ,        0x00000000 [操作成功完成。  ],        


最后因为explorer注册表动作炸裂多，就不附上了，然而有cmpcallback情况下，最初启动设置的demand，结果重启就不启动了。。。

lifan88

加了VMP那个非常诡异，就是那个无后缀名的PE文件，这是个驱动，没有后续动作，要么被针对了，要么就是真没动作（虚拟机被检测）
测试条件：VM-WIN10-X64-1709
改名字后加载驱动后动作：
15:23:51:588,        services.exe,        740:2672,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\q_Service,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],        

15:23:51:588,        System,        4:152,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\q_Service,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接，所以需由对象管理器重新运行分析操作。  ],        

15:23:51:588,        System,        4:152,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\q_Service,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],        

15:23:51:588,        System,        4:152,        0,        REG_getval,
        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\q_Service\ImagePath,        type:0x00000002 datalen:84 data:'5C 00 3F 00 3F 00 5C 00 43 00 3A 00 5C 00 55 00 ' ,        0x00000000 [操作成功完成。  ],        

15:23:51:588,        System,        4:152,        0,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\q_Service\Type,        type:0x00000004 datalen:4 data:'01 00 00 00 ' ,        0x00000000 [操作成功完成。  ],        

15:23:51:588,        System,        4:152,        0,        FILE_open,        C:\Users\\Desktop\ttttttt\q.sys,        access:0x00000020 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000000 ,        0x00000000 [操作成功完成。  ],        

15:23:51:667,        System,        4:152,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Compatibility\Driver\q.sys,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接，所以需由对象管理器重新运行分析操作。  ],        

15:23:51:682,        System,        4:152,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Compatibility\Driver\q.sys,        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],        

15:23:51:682,        System,        4:152,        0,        FILE_open,        C:\Windows\apppatch\drvmain.sdb,        access:0x00120089 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000000 ,        0x00000000 [操作成功完成。  ],        

15:23:51:682,        System,        4:152,        0,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\q_Service\ImagePath,        type:0x00000002 datalen:84 data:'5C 00 3F 00 3F 00 5C 00 43 00 3A 00 5C 00 55 00 ' ,        0x00000000 [操作成功完成。  ],        

15:23:51:682,        System,        4:152,        0,        FILE_open,        C:\Windows\apppatch\drvmain.sdb,        access:0x00120089 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000000 ,        0x00000000 [操作成功完成。  ],        

15:23:51:682,        System,        4:152,        0,        FILE_open,        C:\Users\\Desktop\ttttttt\q.sys,        access:0x00120089 alloc_size:0 attrib:0x00000080 share_access:0x00000005 disposition:0x00000001 options:0x00000060 ,        0x00000000 [操作成功完成。  ],        

15:23:51:729,        System,        4:152,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\q_Service,        access:0x000F003F ,        0x00000000 [操作成功完成。  ],        

15:23:51:729,        System,        4:152,        0,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\q_Service\ImagePath,        type:0x00000002 datalen:84 data:'5C 00 3F 00 3F 00 5C 00 43 00 3A 00 5C 00 55 00 ' ,        0x00000000 [操作成功完成。  ],        

15:23:51:729,        services.exe,        740:2672,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\q_Service,        access:0x00020019 ,        0xC0000033 [文件名、目录名或卷标语法不正确。  ],        （源目录加载驱动会报上述错误）

15:23:51:729,        加驱用.exe,        2252:4732,        2252,        SYS_load_kmod,        C:\Users\\Desktop\ttttttt\q.sys,        ,        0xC0000001 [连到系统上的设备没有发挥作用。  ],        （火绒剑PCH检查已经进入内核，大部分驱动设备消失，应该是某个驱动被拒绝打开的缘故。该驱动加载后显示的是在drivers目录下的一个乱码名字，但是文件不存在，存在shutdown回调，但是重启全部自己disable，也没有文件在drivers下...）


不排除完全击穿火绒剑/PCH的可能

请问楼主如何发现这些的，似乎全部反虚拟机，虽然字符串里没看见，或者说缺少母体

zay365

lifan88 发表于 2020-2-19 15:51
加了VMP那个非常诡异，就是那个无后缀名的PE文件，这是个驱动，没有后续动作，要么被针对了，要么就是真没 ...

楼主是不是说了从客户的电脑里提取的吗，他是开电脑店的

yjwfdc

lifan88 发表于 2020-2-19 15:51
加了VMP那个非常诡异，就是那个无后缀名的PE文件，这是个驱动，没有后续动作，要么被针对了，要么就是真没 ...

客户在他们的工作群下载了表格来制作 复工资料。
电脑就出问题了，主要是dll和explorer.exe不兼容，他是win7 64位。看一楼图片
我进pe找到这个dll删除，重启还是一样，说明是有其它程序创建了。
我进pe 用 电脑速度卫士 活动木马检测 非白即黑模式扫描c:\windows,
找到2020年2月17日的这个驱动和dll，备份后删除。
重启后就不出错了，我再用360急救箱普通模式查杀，查出一些误报的，和最后的这个驱动，这个驱动在注册表目录
c:\windows\system32\config 目录，你把它放回这个目录再测试可能会有不同。

lifan88

yjwfdc 发表于 2020-2-19 16:49
客户在他们的工作群下载了表格来制作 复工资料。
电脑就出问题了，主要是dll和explorer.exe不兼容，他是 ...

config下的？难不成还和hive相关？？能否麻烦你帮忙问问客户那个原表格（如果不涉密的话）能否提供一下看看？