Rootkit本体

显示全部楼层 · 发表于 2022-9-1 18:34:53

本帖最后由 123456aaaafsdeg 于 2022-9-3 22:06 编辑

本体https://pro.huang1111.cn/s/akrFq
天融信1x（Powered By HuoRong）
本样本来源于@wwwab 之前的Fu-Rootkit，貌似每次运行样本的名称均不同

显示全部楼层 · 发表于 2022-9-3 22:08:26

本帖最后由 123456aaaafsdeg 于 2022-9-4 12:28 编辑

驱动本体https://pro.huang1111.cn/s/akrFq
加载器这是样本https://FengMuSecurity.github.io/furootloader.zip@jerry6341@UNknownOoo

显示全部楼层 · 发表于 2022-9-1 18:40:12

KIS 启发杀

显示全部楼层 · 发表于 2022-9-1 18:43:23

火绒静压直接杀了

显示全部楼层 · 发表于 2022-9-1 18:48:07

BTS killed
Trojan.Agent.FXUR 这个是不是入库杀的

显示全部楼层 · 发表于 2022-9-1 18:50:45

网名丢失发表于 2022-9-1 18:43
火绒静压直接杀了

我上报过，bbs以及wx

显示全部楼层 · 发表于 2022-9-1 19:08:47

123456aaaafsdeg 发表于 2022-9-1 18:50
我上报过，bbs以及wx

随机名驱动，很正常的，rootkit驱动基本都是随机名。

显示全部楼层 · 发表于 2022-9-1 19:20:07

本帖最后由 UNknownOoo 于 2022-9-1 19:31 编辑

火绒
扫描：Rootkit/Agent.cl

智量
扫描：拉黑（backdoor，12号的库就已经拉黑了
双击（兼容模式）：本体报WIBD:HEUR.MalBehavior.B，杀衍生物

显示全部楼层 · 发表于 2022-9-1 19:28:04

UNknownOoo 发表于 2022-9-1 19:20
火绒
扫描：Rootkit/Agent.cl

这个东西是个64位驱动文件，改成EXE扩展名双击智量居然还能报毒

显示全部楼层 · 发表于 2022-9-1 19:29:35

这个文件是64位驱动，不是衍生物，是rootkit本体(rootkit驱动)

显示全部楼层 · 发表于 2022-9-1 19:32:50

本帖最后由 UNknownOoo 于 2022-9-1 19:34 编辑

00006666 发表于 2022-9-1 19:28
这个东西是个64位驱动文件，改成EXE扩展名双击智量居然还能报毒

az...离谱（不过MalBehavior系列报法似乎是智量的双击拉黑报法？

[病毒样本] Rootkit本体