查看: 2467|回复: 19
收起左侧

[病毒样本] 会摘CmpCallback回调的Rootkit

[复制链接]
zay365
头像被屏蔽
发表于 2020-4-12 14:51:02 | 显示全部楼层 |阅读模式
本帖最后由 zay365 于 2020-4-12 14:57 编辑

几天前发现的,是这个winaudio驱动木马x2的新版本
之前在360论坛看到一人反馈的用急救箱杀不掉的winaudio不知道是不是这个
和上次发的这个驱动木马也是一个作者的,但那个缺少了核心组件,这个是完整的
一共有三个驱动文件,527KB的是关键驱动,374KB的是辅助驱动,那个8KB的不知道是什么东西,可能是什么加了密后的模块
只要加载那个527KB的驱动就行了,会自动生成另外两个的
如果只加载那个374KB的就会出现我上次的那种情况

这个Rootkit会把其他驱动的CmpCallback回调都给摘掉
会从云端下载组件和更新到windows/temp下,有几个exe,dll,dat
会扫描进程和驱动,发现360的就干
用PCH手杀其实上不难,gmer扫不到
tdsskiller和某助手用默认模式干不掉
这个的注册表防护有问题,Start键值未受保护,也就是说启动类型设置成禁用重启后就没了

前几天一直在忙着关注WannaRen的事,所以拖到现在才发
结果360急救箱在这段时间内已经更新了,看了下最新版本的已经可以在系统下查杀这个了
不过还好的是4月9号的那个版本目前只在官网上线了
卫士里的和旧版本能自动更新到的还是上个版本
这个Rootkit依然是针对360针对得很厉害
在用360急救箱扫描时会提示你用PE版进行查杀

然后如果你忽略的话在第一次扫描完成重启后你会发现并没有进入强力模式第二阶段,直接就结束了



从VT的relation里发现了这个的母体,是个下载器
不知道是反虚拟机还是什么的,在本地没检测到任何行为
在微步上看了下,除了上面的那些外还会下载上次某人发过的白利用驱动和一个127K的无签名驱动
那个无签名驱动在关闭了DSE后加载或是用工具加载时都会显示加载失败,但是文件自删除了
找不到任何痕迹,在什么列表中都没有
文件是SYSTEM删除的,除此之外没有其他动作了,应该是加载成功的,返回值写了失败而已,然后可能卸载了还是什么情况
不知道是反虚拟机还是什么的,反正没有出现什么现象后就跑路了
希望大佬来看看



@落华无痕 @lifan88 @tdsskiller @wowocock

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
www-tekeze + 1 版区有你更精彩: )

查看全部评分

tdsskiller
发表于 2020-4-12 15:11:35 | 显示全部楼层
兴致勃勃打开IDA---exeinfo启动---拉入---vmpprotect 3.x---关闭exeinfo---文件丢入回收站---IDA关闭

评分

参与人数 1人气 +1 收起 理由
Jerry.Lin + 1 hhhhhh

查看全部评分

zay365
头像被屏蔽
 楼主| 发表于 2020-4-12 15:14:13 | 显示全部楼层
tdsskiller 发表于 2020-4-12 15:11
兴致勃勃打开IDA---exeinfo启动---拉入---vmpprotect 3.x---关闭exeinfo---文件丢入回收站---IDA关闭

exeinfo是什么你指的是Exeinfo PE吗
wowocock
发表于 2020-4-12 17:01:31 | 显示全部楼层
出现使用PE的提示,是急救箱发现自己所有的驱动的都无法加载。才会有的提示。现在发现有越来越多的木马那么干了。
zay365
头像被屏蔽
 楼主| 发表于 2020-4-12 17:07:45 | 显示全部楼层
wowocock 发表于 2020-4-12 17:01
出现使用PE的提示,是急救箱发现自己所有的驱动的都无法加载。才会有的提示。现在发现有越来越多的木马那么 ...

我前几次试时急救箱很惨,无论什么文件都删除不掉,显示处理成功移除文件但都还在那
但不知道为什么后来试的时候就没有出现这种现象了
wowocock
发表于 2020-4-12 17:21:38 | 显示全部楼层
zay365 发表于 2020-4-12 17:07
我前几次试时急救箱很惨,无论什么文件都删除不掉,显示处理成功移除文件但都还在那
但不知道为什么后来 ...

道理很简单,我们升级,木马再升级匹配特征,然后我们再修改特征,木马再针对.....所以......
tdsskiller
发表于 2020-4-12 17:59:08 | 显示全部楼层
wowocock 发表于 2020-4-12 12:21
道理很简单,我们升级,木马再升级匹配特征,然后我们再修改特征,木马再针对.....所以......

免杀与反免杀。。。。。。
a27573
发表于 2020-4-12 21:48:58 | 显示全部楼层
zay365 发表于 2020-4-12 15:14
exeinfo是什么你指的是Exeinfo PE吗

同问

我只用过PEID,Exeinfo PE和DIE
a27573
发表于 2020-4-12 21:56:41 | 显示全部楼层
ESET

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
温馨小屋
头像被屏蔽
发表于 2020-4-12 21:58:42 | 显示全部楼层
本帖最后由 温馨小屋 于 2020-4-12 22:25 编辑

卡巴 miss all
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 14:45 , Processed in 0.128651 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表