传奇私-Fu rootkit2x及释放程序

GreatMOLA

rogersg 发表于 2022-7-24 18:55
ESET Smart Security Premium
984610a8.sys - a variant of Win64/Agent.ARD trojan
9f097877.sys - a va ...

虽然但是，图里面不是EIS吗

rogersg

lvseqiji 发表于 2022-7-24 19:32
自动上传，不过我调了ELG的阈值

我这边不是没有检测到，是直接就没上传，你解压用的是啥？WinRAR吗

rogersg

GreatMOLA 发表于 2022-7-24 19:34
虽然但是，图里面不是EIS吗

虚拟机用的EIS，实机用的ESSP

lvseqiji

rogersg 发表于 2022-7-24 19:36
我这边不是没有检测到，是直接就没上传，你解压用的是啥？WinRAR吗

7zip，但是ESSP应该是支持winRar的啊。 这个dll跟着两个exe一起上传上去的

PianoA

WD居然没报；金山云杀984610a8.sys，红伞引擎杀dll

ANY.LNK

微软目前没有报告，已经上报

rogersg

lvseqiji 发表于 2022-7-24 19:39
7zip，但是ESSP应该是支持winRar的啊。 这个dll跟着两个exe一起上传上去的

我难道是又遇到什么奇怪的Bug了么，刚刚的两个JS样本都双击了实机的LiveGuard一点反应都没有，等下我换7Zip看看

anthonyqian

rogersg 发表于 2022-7-24 19:43
我难道是又遇到什么奇怪的Bug了么，刚刚的两个JS样本都双击了实机的LiveGuard一点反应都没有，等下我换7Z ...

我这里倒是有时会遇到样本被ELG拦截，但没自动上传的情况

lvseqiji

rogersg 发表于 2022-7-24 19:43
我难道是又遇到什么奇怪的Bug了么，刚刚的两个JS样本都双击了实机的LiveGuard一点反应都没有，等下我换7Z ...

ELG不会拦js文件的

00006666

WIN7虚拟机，双击运行释放程序，加载驱动并重启虚拟机

重启后可见

样本驱动会劫持系统驱动



注册回调



运行360急救箱，可以观察到360急救箱的驱动(FsWriteBack64.sys)并未成功加载，被样本拦截

使用强力模式扫描，强力模式驱动绕过拦截成功加载(红色的可疑驱动为强力模式驱动)



蓝色强力模式并未检测出样本



重启进入红色强力模式

成功检测并清除样本





再次重启虚拟机后

样本的驱动劫持已经没有了



再进行一次红色强力模式扫描，未检出威胁项目，可以确认样本已经成功清除  （红色的那个可疑驱动为急救箱的强力模式驱动）



急救箱扫描日志: