一个可以干掉所有杀软的病毒 以及给杀软的建议

litadezhongquan

朋友中了一个病毒，图标是一个小丑，症状是所有杀软无法启动，启动会弹出一个带有小丑图标嘲讽的msgbox。

用ark看了下流程，非常简单的映像劫持，流程如下:

1.先释放一个叫kavMain.exe的文件，它负责检查一些特定杀软的互斥体来判断哪些杀软被安装了；

2.kavMain删除病毒原位置的本体，释放了两个驱动分别为kavView.sys和kavUltra.sys，两个驱动都被一串不知道是啥的第三方签名了，但win认，卡巴不会拦；

3.对驱动绑定的设备传参刚看到的互斥体所对应的杀软保护模块进程命交给kavUltra.sys，这个驱动不会有任何操作，它的作用是保护映像劫持的注册表不可被更改，并在检测到kavView.sys被卸载时释放kavLoadUl.exe和kavLoadUp.exe两个守护进程将kavView.sys重命名为随机数后加载回来并把所传入的参数交付kavView.sys循环向注册表写入映像劫持项。

4.用kavUltra.sys对映像劫持项保护，保证注册表劫持项不可被删除或更改。
主要令我惊讶的简单的映像劫持居然真的可以让卡巴这样的杀软没法启动

以下是我给杀软的建议

可以适当的做一些反映像劫持的措施，这样的措施也可以避免很多其它的针对。下面是我想的大概流程:

1.在每一次杀软退出时将主程序的taskview,进程明和文件名改为随机数，并加密存储在一个文件中

2.把快捷方式的目标指向新更改的随机数文件名

3.在下次启动时读取1中存储文件名的文件解密并把这个exe加载

4.把这个exe作为傀儡进程以启动主程序


（鄙人才疏学浅，若有不妥请海涵:-＞）

AEht

有样本私信一下感谢大佬！别公发，我想研究一下，谢谢！

litadezhongquan

补充一下该病毒的网络行为: 又是用烂了的局域网横向渗透，把一个名为"Ptrc.exe"的应用程序注册为目标计算机的服务以在下次启动时自启动；每一次ptrc启动时会向中本体的机器发送字符"WidowsSctTest-394176"+自己的局域网内ip，当本体收到这串字符时会向此ip发送回信"Success",以此判断本体是否还存在；若没有收到回信，既本体已经不存在，再反向横向渗透释放本体到目标机器注册服务以实现重装系统不能被清除

wowocock

有驱动了，让你杀软挂，方法很多，你说的都是徒劳，急救箱之类的就是干这种事的，虽然自己也经常被干。

huangzihang

先运行恶意程式本体再测试杀软是否无法启动，这方法可太多了，和 先运行勒索再测试杀软是否可以解密 有什么区别...杀软不保护主动退出杀软的呆子

大部分杀软本身就不是针对已经严重感染的带毒环境的，得用急救箱或者PE系统

LeeHS

但你没样本，我们也试不了啊

litadezhongquan

本体蛮难找的，kavMain.exe单独运行会自行退出，应该就是反单样本提取的

litadezhongquan

huangzihang 发表于 2023-5-9 10:40
先运行恶意程式本体再测试杀软是否无法启动，这方法可太多了，和 先运行勒索再测试杀软是否可以解密 有什么 ...

杀软并没有退出，不然已退出再运行岂不是没有任何技术含量和分析的必要？

wowocock

litadezhongquan 发表于 2023-5-9 11:32
本体蛮难找的，kavMain.exe单独运行会自行退出，应该就是反单样本提取的

把驱动发上来看看。

herofrederick

有啥就发啥，看通过释放文件关联看看能不能找到母体