从未见过如此阴间之Rootkit

显示全部楼层 · 发表于 2022-4-10 13:47:11

@00006666 又有新的Rootkit

简单描述一下我干掉它的过程：火绒剑：打不开

PYArk：找不到
PC Hunter：找不到，但是发现了被劫持的mcd.sys并提取内存内核模块文件dump

Gmer：找不到
KVRT：找不到
火绒专杀（不改名）：打不开
火绒专杀（改名后）：找到了，处理写是写的成功，然而实际上驱动还在
360急救箱：找到了，成功了

我上传的时候，VT是第一次上传

然后我从上午搞到了现在（太阴间了）

样本文件：
下载1：https://www.wenshushu.cn/f/81iaq7eq3vx
下载2：https://www.123pan.com/s/xaeA-Pv7vH提取码:7poA
驱动可用InstDrv加载

其他补充（非样本文件，包含dump等）：
下载1：https://www.wenshushu.cn/f/81iqwum3g0n
下载2：https://www.123pan.com/s/xaeA-Xv7vH提取码:ghBN

附上小彩蛋：
1.全浏览器支持：（体贴入微）
2.云控配置：
3.检测和屏蔽杀软：
（此部分感谢@tdsskiller 分析并提供）

显示全部楼层 · 发表于 2022-4-10 13:49:52

显示全部楼层 · 发表于 2022-4-10 13:50:45

咖啡

显示全部楼层 · 发表于 2022-4-10 13:54:19

Avast

Win64:Trojan-gen

显示全部楼层 · 发表于 2022-4-10 13:56:55

本帖最后由秋日之殇于 2022-4-10 14:21 编辑

上报卡巴了吗？没有的话我上报一下。
-----------------------------

卡巴已经拉黑了

显示全部楼层 · 发表于 2022-4-10 13:56:58

eset 下载拦截 Win32/Packed.VMProtect.ACR

显示全部楼层 · 发表于 2022-4-10 14:05:33

BD拦截

Infected web page detected
one minute ago
Feature:
Online Threat Prevention
We blocked this dangerous page for your protection:
https://down.wss1.cn/dyutjxp/8/1i/81iadyutjxp?cdn_sign=1649570646-4-0-366cb28fe34ba679f09a0b118966be7a&exp=240&response-content-disposition=attachment%3B%20filename%3D%22Iru.zip%22%3B%20filename%2A%3Dutf-8%27%27Iru.zip
Threat name: Gen:Suspicious.Cloud.1.RNX@a4tt0!h
Dangerous pages attempt to install software that can harm the device, gather personal information or operate without your consent.

复制代码

显示全部楼层 · 发表于 2022-4-10 14:06:10

建议可以提供一下360急救箱扫描日志

，里面有些内容还是挺有用的

显示全部楼层 · 发表于 2022-4-10 14:08:16

00006666 发表于 2022-4-10 14:06
建议可以提供一下360急救箱扫描日志，里面有些内容还是挺有用的

我是直接自定义扫描C:\Windows\System32\drivers的，这样子快，而且实际上也能够杀掉的，后面杀完重启那个按钮也是出来了的

显示全部楼层 · 发表于 2022-4-10 14:10:06

360

[病毒样本] 从未见过如此阴间之Rootkit

本帖子中包含更多资源

评分

本帖子中包含更多资源

本帖子中包含更多资源

评分

评分

本帖子中包含更多资源