会摘CmpCallback回调的Rootkit

zay365

几天前发现的，是这个winaudio驱动木马x2的新版本
之前在360论坛看到一人反馈的用急救箱杀不掉的winaudio不知道是不是这个
和上次发的这个驱动木马也是一个作者的，但那个缺少了核心组件，这个是完整的
一共有三个驱动文件，527KB的是关键驱动，374KB的是辅助驱动，那个8KB的不知道是什么东西，可能是什么加了密后的模块
只要加载那个527KB的驱动就行了，会自动生成另外两个的
如果只加载那个374KB的就会出现我上次的那种情况

这个Rootkit会把其他驱动的CmpCallback回调都给摘掉
会从云端下载组件和更新到windows/temp下,有几个exe,dll,dat
会扫描进程和驱动，发现360的就干
用PCH手杀其实上不难，gmer扫不到
tdsskiller和某助手用默认模式干不掉
这个的注册表防护有问题，Start键值未受保护，也就是说启动类型设置成禁用重启后就没了

前几天一直在忙着关注WannaRen的事，所以拖到现在才发
结果360急救箱在这段时间内已经更新了，看了下最新版本的已经可以在系统下查杀这个了
不过还好的是4月9号的那个版本目前只在官网上线了
卫士里的和旧版本能自动更新到的还是上个版本
这个Rootkit依然是针对360针对得很厉害
在用360急救箱扫描时会提示你用PE版进行查杀

然后如果你忽略的话在第一次扫描完成重启后你会发现并没有进入强力模式第二阶段，直接就结束了



从VT的relation里发现了这个的母体，是个下载器
不知道是反虚拟机还是什么的，在本地没检测到任何行为
在微步上看了下，除了上面的那些外还会下载上次某人发过的白利用驱动和一个127K的无签名驱动
那个无签名驱动在关闭了DSE后加载或是用工具加载时都会显示加载失败，但是文件自删除了
找不到任何痕迹，在什么列表中都没有
文件是SYSTEM删除的，除此之外没有其他动作了，应该是加载成功的，返回值写了失败而已，然后可能卸载了还是什么情况
不知道是反虚拟机还是什么的，反正没有出现什么现象后就跑路了
希望大佬来看看



@落华无痕 @lifan88 @tdsskiller @wowocock

tdsskiller

兴致勃勃打开IDA---exeinfo启动---拉入---vmpprotect 3.x---关闭exeinfo---文件丢入回收站---IDA关闭

zay365

tdsskiller 发表于 2020-4-12 15:11
兴致勃勃打开IDA---exeinfo启动---拉入---vmpprotect 3.x---关闭exeinfo---文件丢入回收站---IDA关闭

exeinfo是什么你指的是Exeinfo PE吗

wowocock

出现使用PE的提示，是急救箱发现自己所有的驱动的都无法加载。才会有的提示。现在发现有越来越多的木马那么干了。

zay365

wowocock 发表于 2020-4-12 17:01
出现使用PE的提示，是急救箱发现自己所有的驱动的都无法加载。才会有的提示。现在发现有越来越多的木马那么 ...

我前几次试时急救箱很惨，无论什么文件都删除不掉，显示处理成功移除文件但都还在那
但不知道为什么后来试的时候就没有出现这种现象了

wowocock

zay365 发表于 2020-4-12 17:07
我前几次试时急救箱很惨，无论什么文件都删除不掉，显示处理成功移除文件但都还在那
但不知道为什么后来 ...

道理很简单，我们升级，木马再升级匹配特征，然后我们再修改特征，木马再针对.....所以......

tdsskiller

wowocock 发表于 2020-4-12 12:21
道理很简单，我们升级，木马再升级匹配特征，然后我们再修改特征，木马再针对.....所以......

免杀与反免杀。。。。。。

a27573

zay365 发表于 2020-4-12 15:14
exeinfo是什么你指的是Exeinfo PE吗

同问

我只用过PEID，Exeinfo PE和DIE

a27573

ESET

温馨小屋

卡巴 miss all