楼主: yjwfdc
收起左侧

[病毒样本] 昨天客户在制作复工资料时中的毒。过智量

[复制链接]
yjwfdc
头像被屏蔽
 楼主| 发表于 2020-2-18 14:19:34 | 显示全部楼层
本帖最后由 yjwfdc 于 2020-2-18 14:21 编辑
www-tekeze 发表于 2020-2-18 14:11
那不知道,反正我不会上传后才来回帖。。    还希望是exe正想玩双击。。。

上传也正常,可能是官人上传的,玩双击玩最后一个,加个.exe试试。64位程序,我的32位电脑运行不了。

想中第一个毒,要加驱工具,第二个应该是第一个驱动生成的文件,加载入explorer.exe时出错,可能要用win10才不出错。

www-tekeze
发表于 2020-2-18 14:22:27 | 显示全部楼层
本帖最后由 www-tekeze 于 2020-2-18 14:25 编辑
yjwfdc 发表于 2020-2-18 14:19
上传也正常,可能是官人上传的,玩双击玩最后一个,加个.exe试试。64位程序,我的32位电脑运行不了。

...

先就恢复后缀看了,像个exe,but 。。   也带数签。
第一个sys肯定得加驱工具啊,太累,不玩。。    艾特下。。。@lifan88

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
www-tekeze
发表于 2020-2-18 14:43:10 | 显示全部楼层

安天Miss All,无BD管家杀第三个 (和火绒相同)。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
LSPD
发表于 2020-2-18 15:00:45 | 显示全部楼层
Norton miss all

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
lifan88
发表于 2020-2-18 18:21:38 | 显示全部楼层
www-tekeze 发表于 2020-2-18 14:22
先就恢复后缀看了,像个exe,but 。。   也带数签。
第一个sys肯定得加驱工具啊,太累,不玩。。[ ...

我来了
lifan88
发表于 2020-2-18 18:22:18 | 显示全部楼层
本帖最后由 lifan88 于 2020-2-19 15:55 编辑

占楼,先把我虚拟机的诡异rootkit干死再说
2020-2-19终于干死了,修好了虚拟机
楼主求顶置

那个PE文件是加了VMP的驱动,我还没测试

另一个Ht Srl签名驱动应该是一个负责联网和DLL加载的loader,没有看到其他行为,就联一下网,创建dll和加密内容的data,然后应该是利用ZwTestAlert把dll无特征送进explorer,最后无钩子锁死加载驱动的当前目录...(注入方式和火绒非常相似,估计都是从github上某源码直接弄过来的):
[ANSI] 0x0000a04c: 烫烫ZwProtectVirtualMemory
[ANSI] 0x0000a068: 烫烫烫烫LdrLoadDll
[ANSI] 0x0000a07c: 烫烫ZwTestAlert


测试条件:VM-Win10-x64-1709
加载驱动后动作:

11:45:25:969,        System,        4:340,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EzVIzLjF_Service,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],        

11:45:25:969,        System,        4:340,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EzVIzLjF_Service,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],        

11:45:25:969,        System,        4:340,        0,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EzVIzLjF_Service\ImagePath,        type:0x00000002 datalen:82 data:'5C 00 3F 00 3F 00 5C 00 43 00 3A 00 5C 00 55 00 ' ,        0x00000000 [操作成功完成。  ],        

11:45:25:969,        System,        4:340,        0,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EzVIzLjF_Service\Type,        type:0x00000004 datalen:4 data:'01 00 00 00 ' ,        0x00000000 [操作成功完成。  ],        

11:45:25:969,        System,        4:340,        0,        FILE_open,        C:\Users\\Desktop\EzVIzLjF.sys,        access:0x00000020 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000000 ,        0x00000000 [操作成功完成。  ],        

11:45:25:969,        System,        4:340,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Compatibility\Driver\EzVIzLjF.sys,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],        

11:45:25:969,        System,        4:340,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Compatibility\Driver\EzVIzLjF.sys,        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],        

11:45:25:969,        System,        4:340,        0,        FILE_open,        C:\Windows\apppatch\drvmain.sdb,        access:0x00120089 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000000 ,        0x00000000 [操作成功完成。  ],        

11:45:25:984,        System,        4:340,        0,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EzVIzLjF_Service\ImagePath,        type:0x00000002 datalen:82 data:'5C 00 3F 00 3F 00 5C 00 43 00 3A 00 5C 00 55 00 ' ,        0x00000000 [操作成功完成。  ],        

11:45:25:984,        System,        4:340,        0,        FILE_open,        C:\Windows\apppatch\drvmain.sdb,        access:0x00120089 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000000 ,        0x00000000 [操作成功完成。  ],        

11:45:25:984,        System,        4:340,        0,        FILE_open,        C:\Users\\Desktop\EzVIzLjF.sys,        access:0x00120089 alloc_size:0 attrib:0x00000080 share_access:0x00000005 disposition:0x00000001 options:0x00000060 ,        0x00000000 [操作成功完成。  ],        

11:45:25:984,        System,        4:340,        0,        REG_setval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EzVIzLjF_Service\ia,        type:0x00000004 datalen:4 data:'01 00 00 00 ' ,        0x00000000 [操作成功完成。  ],        

11:45:25:984,        System,        4:340,        0,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EzVIzLjF_Service\ImagePath,        type:0x00000002 datalen:82 data:'5C 00 3F 00 3F 00 5C 00 43 00 3A 00 5C 00 55 00 ' ,        0x00000000 [操作成功完成。  ],        

11:45:25:984,        services.exe,        680:1100,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\EzVIzLjF_Service,        access:0x00080000 ,        0xC0000022 [拒绝访问。  ],        
11:45:25:984,        加驱用.exe,        844:4432,        844,        SYS_load_kmod,        C:\Users\\Desktop\EzVIzLjF.sys,        ,        0xC0000001 [连到系统上的设备没有发挥作用。  ],        (实际已经送进内核了,也导致桌面隐藏并且锁死了,无任何钩子。。。)

11:45:25:984,        System,        4:2328,        0,        NET_connect,        144.48.141.137:12588,        protocol:(TCP)0 ,        0x00000000 [操作成功完成。  ],        

11:45:25:984,        System,        4:2588,        0,        FILE_touch,        C:\Users\\Desktop\EzVIzLjF.dll,        access:0x00120116 alloc_size:0 attrib:0x00000080 share_access:0x00000002 disposition:0x00000005 options:0x00000020 ,        0x00000000 [操作成功完成。  ],        

11:45:25:984,        System,        4:2588,        0,        FILE_truncate,        C:\Users\\Desktop\EzVIzLjF.dll,        eof:0x00000000 ,        0x00000000 [操作成功完成。  ],        

11:45:25:984,        System,        4:2588,        0,        FILE_write,        C:\Users\\Desktop\EzVIzLjF.dll,        offset:0x00000000 datalen:0x000C0400 ,        0x00000000 [操作成功完成。  ],        

11:45:25:984,        System,        4:2588,        0,        FILE_modified,        C:\Users\\Desktop\EzVIzLjF.dll,        ,        0x00000000 [操作成功完成。  ],        

11:45:26:031,        System,        4:2328,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],        

11:45:26:031,        System,        4:2328,        0,        REG_getval,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate,        type:0x00000004 datalen:4 data:'8E AF 00 5E ' ,        0x00000000 [操作成功完成。  ],        

11:45:26:031,        System,        4:2328,        0,        REG_getval,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\InstallDate,        type:0x00000004 datalen:4 data:'8E AF 00 5E ' ,        0x00000000 [操作成功完成。  ],        

11:45:26:031,        System,        4:2328,        0,        NET_send,        144.48.141.137:12588,        protocol:(TCP)0 datalen:281 data:'47 45 54 20 2F 53 65 72 76 65 72 2F 3F 62 77 6A ' ,        0x00000000 [操作成功完成。  ],        

11:45:26:328,        System,        4:2328,        0,        FILE_touch,        C:\Users\\Desktop\EzVIzLjF.data,        access:0x00120116 alloc_size:0 attrib:0x00000080 share_access:0x00000002 disposition:0x00000005 options:0x00000020 ,        0x00000000 [操作成功完成。  ],        

11:45:26:328,        System,        4:2328,        0,        FILE_truncate,        C:\Users\\Desktop\EzVIzLjF.data,        eof:0x00000000 ,        0x00000000 [操作成功完成。  ],        

11:45:26:328,        System,        4:2328,        0,        FILE_write,        C:\Users\\Desktop\EzVIzLjF.data,        offset:0x00000000 datalen:0x000006B0 ,        0x00000000 [操作成功完成。  ],        

11:45:26:328,        System,        4:2328,        0,        FILE_modified,        C:\Users\\Desktop\EzVIzLjF.data,        ,        0x00000000 [操作成功完成。  ],        

11:45:26:359,        SearchIndexer.exe,        1548:4000,        0,        REG_openkey,        HKEY_CLASSES_ROOT\.data,        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],        (系统此时已经发现有data创建,然而读不到文件)

11:45:26:359,        System,        4:2328,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control,        access:0x000F003F ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],        

11:45:26:359,        System,        4:2328,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control,        access:0x000F003F ,        0x00000000 [操作成功完成。  ],        

11:45:26:359,        System,        4:2328,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\,        access:0x000F003F ,        0x00000000 [操作成功完成。  ],        

11:45:26:359,        System,        4:2328,        0,        REG_setval,        HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\EnableLUA,        type:0x00000004 datalen:4 data:'00 00 00 00 ' ,        0x00000000 [操作成功完成。  ],        

11:45:27:015,        Explorer.EXE,        4076:4360,        0,        FILE_open,        C:\Users\\Desktop\EzVIzLjF.dll,        access:0x00100080 alloc_size:0 attrib:0x00000080 share_access:0x00000007 disposition:0x00000001 options:0x00000020 ,        0x00000000 [操作成功完成。  ],        


11:45:27:015,        Explorer.EXE,        4076:4360,        0,        FILE_open,        C:\Users\\Desktop\EzVIzLjF.dll,        access:0x00100080 alloc_size:0 attrib:0x00000080 share_access:0x00000007 disposition:0x00000001 options:0x00000020 ,        0x00000000 [操作成功完成。  ],        


最后因为explorer注册表动作炸裂多,就不附上了,然而有cmpcallback情况下,最初启动设置的demand,结果重启就不启动了
。。。



lifan88
发表于 2020-2-19 15:51:05 | 显示全部楼层
本帖最后由 lifan88 于 2020-2-19 15:53 编辑

加了VMP那个非常诡异,就是那个无后缀名的PE文件,这是个驱动,没有后续动作,要么被针对了,要么就是真没动作(虚拟机被检测)
测试条件:VM-WIN10-X64-1709
改名字后加载驱动后动作:

15:23:51:588,        services.exe,        740:2672,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\q_Service,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],        

15:23:51:588,        System,        4:152,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\q_Service,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],        

15:23:51:588,        System,        4:152,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\q_Service,        access:0x00020019 ,        0x00000000 [操作成功完成。  ],        

15:23:51:588,        System,        4:152,        0,        REG_getval,
        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\q_Service\ImagePath,        type:0x00000002 datalen:84 data:'5C 00 3F 00 3F 00 5C 00 43 00 3A 00 5C 00 55 00 ' ,        0x00000000 [操作成功完成。  ],        

15:23:51:588,        System,        4:152,        0,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\q_Service\Type,        type:0x00000004 datalen:4 data:'01 00 00 00 ' ,        0x00000000 [操作成功完成。  ],        

15:23:51:588,        System,        4:152,        0,        FILE_open,        C:\Users\\Desktop\ttttttt\q.sys,        access:0x00000020 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000000 ,        0x00000000 [操作成功完成。  ],        

15:23:51:667,        System,        4:152,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Compatibility\Driver\q.sys,        access:0x00020019 ,        0x00000104 [因为文件名产生符号链接,所以需由对象管理器重新运行分析操作。  ],        

15:23:51:682,        System,        4:152,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Compatibility\Driver\q.sys,        access:0x00020019 ,        0xC0000034 [系统找不到指定的文件。  ],        

15:23:51:682,        System,        4:152,        0,        FILE_open,        C:\Windows\apppatch\drvmain.sdb,        access:0x00120089 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000000 ,        0x00000000 [操作成功完成。  ],        

15:23:51:682,        System,        4:152,        0,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\q_Service\ImagePath,        type:0x00000002 datalen:84 data:'5C 00 3F 00 3F 00 5C 00 43 00 3A 00 5C 00 55 00 ' ,        0x00000000 [操作成功完成。  ],        

15:23:51:682,        System,        4:152,        0,        FILE_open,        C:\Windows\apppatch\drvmain.sdb,        access:0x00120089 alloc_size:0 attrib:0x00000000 share_access:0x00000005 disposition:0x00000001 options:0x00000000 ,        0x00000000 [操作成功完成。  ],        

15:23:51:682,        System,        4:152,        0,        FILE_open,        C:\Users\\Desktop\ttttttt\q.sys,        access:0x00120089 alloc_size:0 attrib:0x00000080 share_access:0x00000005 disposition:0x00000001 options:0x00000060 ,        0x00000000 [操作成功完成。  ],        

15:23:51:729,        System,        4:152,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\q_Service,        access:0x000F003F ,        0x00000000 [操作成功完成。  ],        

15:23:51:729,        System,        4:152,        0,        REG_getval,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\q_Service\ImagePath,        type:0x00000002 datalen:84 data:'5C 00 3F 00 3F 00 5C 00 43 00 3A 00 5C 00 55 00 ' ,        0x00000000 [操作成功完成。  ],        

15:23:51:729,        services.exe,        740:2672,        0,        REG_openkey,        HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\q_Service,        access:0x00020019 ,        0xC0000033 [文件名、目录名或卷标语法不正确。  ],        (源目录加载驱动会报上述错误)

15:23:51:729,        加驱用.exe,        2252:4732,        2252,        SYS_load_kmod,        C:\Users\\Desktop\ttttttt\q.sys,        ,        0xC0000001 [连到系统上的设备没有发挥作用。  ],        (火绒剑PCH检查已经进入内核,大部分驱动设备消失,应该是某个驱动被拒绝打开的缘故。该驱动加载后显示的是在drivers目录下的一个乱码名字,但是文件不存在,存在shutdown回调,但是重启全部自己disable,也没有文件在drivers下...)


不排除完全击穿火绒剑/PCH的可能

请问楼主如何发现这些的,似乎全部反虚拟机,虽然字符串里没看见,或者说缺少母体


评分

参与人数 1人气 +3 收起 理由
yjwfdc + 3 版区有你更精彩: )

查看全部评分

zay365
头像被屏蔽
发表于 2020-2-19 16:16:05 | 显示全部楼层
lifan88 发表于 2020-2-19 15:51
加了VMP那个非常诡异,就是那个无后缀名的PE文件,这是个驱动,没有后续动作,要么被针对了,要么就是真没 ...

楼主是不是说了从客户的电脑里提取的吗,他是开电脑店的

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
yjwfdc
头像被屏蔽
 楼主| 发表于 2020-2-19 16:49:25 | 显示全部楼层
lifan88 发表于 2020-2-19 15:51
加了VMP那个非常诡异,就是那个无后缀名的PE文件,这是个驱动,没有后续动作,要么被针对了,要么就是真没 ...

客户在他们的工作群下载了表格来制作 复工资料。
电脑就出问题了,主要是dll和explorer.exe不兼容,他是win7 64位。看一楼图片
我进pe找到这个dll删除,重启还是一样,说明是有其它程序创建了。
我进pe 用 电脑速度卫士 活动木马检测 非白即黑模式扫描c:\windows,
找到2020年2月17日的这个驱动和dll,备份后删除。
重启后就不出错了,我再用360急救箱普通模式查杀,查出一些误报的,和最后的这个驱动,这个驱动在注册表目录
c:\windows\system32\config 目录,你把它放回这个目录再测试可能会有不同。

评分

参与人数 1人气 +1 收起 理由
lifan88 + 1 感谢解答: )

查看全部评分

lifan88
发表于 2020-2-19 16:55:45 | 显示全部楼层
yjwfdc 发表于 2020-2-19 16:49
客户在他们的工作群下载了表格来制作 复工资料。
电脑就出问题了,主要是dll和explorer.exe不兼容,他是 ...

config下的?难不成还和hive相关??能否麻烦你帮忙问问客户那个原表格(如果不涉密的话)能否提供一下看看?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 22:20 , Processed in 0.104834 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表