rootkit x1

zhangdr

内网一台终端告警，使用天擎查杀一直查杀不干净，手动用360急救箱扫，先是直接打不开360急救箱，用任务管理器手动干掉NisArv.exe进程之后才能勉强打开360急救箱，没想到360急救箱也扫不干净，扫完了重启还在

终端目前已经采取重装处理了，把样本拷了一份出来

（p.s. 有没有360急救箱的官人看看这个样本？）

样本：

您有【Desktop.rar】等共1份文件待查收！即刻点击链接获取：https://wkkc.vip/s/2OMxyg1leqRb或进入 ：https://wkkc.vip 获取，在首页输入取件码：945069 ( 有效期至 :2023-05-12 17:36 )

很屌，居然是 MicrosoftWindows Hardware Compatibility的证书

vt报p4a7e2241.sys为rootkit

https://www.virustotal.com/gui/file/2fd00b82170f40ebe1d11de4d567809b1bda9be85843a1daef3f0b44e57ddb43

主程序（为了实现自我保护？）

Update：5kRkog2D25.sys和XQn0qnwV.sys是360急救箱释放的驱动，这个鬼名字真的是把我迷惑了。。

莒县小哥

AEht

卡巴占位

往生全凭佛接引

360kill

AEht

卡巴过静态。卡巴双击miss，任务管理器见病毒进程。

重启未见进程？？

有没有饭友给个卡巴有人管的上报途径啊？中国的技术支持就算附上了授权码也是回复的很玄学

lbyxiaolizi1

AEht 发表于 2023-5-11 18:23
卡巴过静态。卡巴双击miss，任务管理器见病毒进程。

重启未见进程？？

邮件：china-support@kaspersky.com
就是回复的挺慢的得1天多

dght432

有分流吗

东南大学

和 https://bbs.kafan.cn/thread-2255863-1-1.html 一起上报，全部入库

Hello,

New malicious software was found in the attached file. Its detection will be included in the next update.
\07de130dbd9d4a09cab647cc5c900100899afd78d687105f0af8278811ad7e56      -        Trojan.Win64.Agent.qwihgi
.\29fe263de273fee59c16f6c905dfe37cd89d5cbbf441ab6c3379f9a331c4105d      -        Trojan.Win64.Agent.qwihgh
.\2fd00b82170f40ebe1d11de4d567809b1bda9be85843a1daef3f0b44e57ddb43      -        HEUR:Rootkit.Win64.Agent.gen
.\b2d81f9cad5b9834ed2c5cb433dbd059778e16cc2b054cc8f4a184883d18a38e      -        HEUR:Rootkit.Win64.Agent.gen

Best regards, Denis Sitchikhin, Malware Analyst
39A/3 Leningradskoe Shosse, Moscow, 125212, Russia Tel./Fax: + 7 (495) 797 8700 http://www.kaspersky.com https://securelist.com
https://opentip.kaspersky.com/ - get insights about suspicious files, hashes, URLs, IP addresses or domain names

东南大学

AEht 发表于 2023-5-11 18:23
卡巴过静态。卡巴双击miss，任务管理器见病毒进程。

重启未见进程？？

newvirus@kaspersky.com
回复挺快的，直接发VT链接就行

hhhq316

最近的样本怎么国外表现都不佳？