传奇sf驱动木马X2

落华无痕

zay365 发表于 2020-9-24 18:51
它不是提示你了进PE吗

只是虚拟机里测试的而已。我既然已经发上来，那肯定是问题已解决的。但是考虑到有些人PE下不能联网，所以系统下查杀还是很有必要。

WAR314159

eset kill all

1. 时间;扫描程序;对象类型;对象;检测;操作;用户;信息;哈希;此处首次所见
   
2. 2020/9/24 19:16:25;文件系统实时防护;文件;C:\Users\Administrator\AppData\Local\Temp\BNZ.5f6c7fd097c96\plbeglwwc.sys;Win64/Agent.UA 特洛伊木马 的变量;已通过删除清除;O66GKZ3BJYBO3CI\Administrator;在通过应用程序创建的新文件上发生了事件: C:\Program Files\Bandizip\Bandizip.exe (A9B2AAB3CDC45B1FA8ECAC35E96929F5B71B21AF).;183D3A680289D62C34B610C00B10DCFFAC4260D1;2020/9/24 15:16:09
   
3. 2020/9/24 19:16:25;文件系统实时防护;文件;C:\Users\Administrator\AppData\Local\Temp\BNZ.5f6c7fd097c96\ozjzgowsre.sys;Win64/Packed.VMProtect.IM 特洛伊木马 的变量;已通过删除清除;O66GKZ3BJYBO3CI\Administrator;在通过应用程序创建的新文件上发生了事件: C:\Program Files\Bandizip\Bandizip.exe (A9B2AAB3CDC45B1FA8ECAC35E96929F5B71B21AF).;79A991687313DD2B241B28669F0C9306491FADBC;2020/9/24 15:16:10
   

复制代码

心醉咖啡

毒霸

1. 扫描时间：[2020-09-24 19:17:50]
   
2. 扫描用时：[00:00:03]
   
3. 扫描类型：自定义查杀
   
4. 扫描文件总数：2
   
5. 扫描速度：1文件/秒
   
6. 发现威胁：2个
   
7. 清除威胁：2个
   
8. =============================================
   
9. [2020-09-24 19:17:58]
   
10. 威胁：e:\浏览器下载\op_x2\ozjzgowsre.sys
    
11. 类型：win32.troj.generic_a.a.(kcloud)
    
12. 处理方式：删除
    
13. 
    
14. [2020-09-24 19:17:58]
    
15. 威胁：e:\浏览器下载\op_x2\plbeglwwc.sys
    
16. 类型：win32.troj.generic_a.a.(kcloud)
    
17. 处理方式：删除
    
18. 
    

复制代码

Jerry.Lin

MS
2/2

1. PUA:Win32/Kuping

复制代码

swizzer

QWQxd 发表于 2020-9-24 17:12
好家伙

诶，这是拉黑签名的报法吗？

wowocock

弹了这个框表示急救箱的驱动一个都没法加载。所以会提示进PE处理，正如同前面所说急救箱由于过于强大，导致成为针对主要目标，从以前的对抗就蓝屏重启，发展到了直接禁止任何急救箱驱动加载。所以才提示进PE处理。

sichuanwenxuan

wowocock

看了下木马是禁止360驱动签名节内的一些特殊信息来禁止驱动加载的。下个版本更新下，应该还能绕过。

sichuanwenxuan

wwwab

swizzer 发表于 2020-9-24 22:35
诶，这是拉黑签名的报法吗？

应该不是，火绒的这个报法我反正觉得是恶意驱动盗用了别人的签名的意思，不是拉黑签名，是检测是否是被盗用了