rootkit x1

显示全部楼层 · 发表于 2023-5-11 22:35:37

东南大学发表于 2023-5-11 21:23
newvirus@kaspersky.com
回复挺快的，直接发VT链接就行

谢谢指教!!!

显示全部楼层 · 发表于 2023-5-12 09:52:24

2个连接都失效了

显示全部楼层 · 发表于 2023-5-12 10:11:29

360急救箱本来就是随机名驱动，而且卡巴斯基kvrt也是这样，不然容易被病毒拦截加载驱动

显示全部楼层 · 发表于 2023-5-12 10:15:11

东南大学发表于 2023-5-11 21:15
和 https://bbs.kafan.cn/thread-2255863-1-1.html 一起上报，全部入库

你这个把那两个急救箱驱动给拉黑了…

显示全部楼层 · 发表于 2023-5-12 11:27:52

https://bbs.kafan.cn/thread-2254081-1-1.html，和这是同一类，因为会阻止360及相关所有杀软驱动得签名驱动得加载。所以可能不好处理，只能手动处理，或者进PE查杀。
阻止以下包含特定签名的驱动加载
9f2d8b4  42 65 69 6a 69 6e 67 20-51 69 68 75 20 54 65 63  Beijing Qihu Tec
89f2d8c4  68 6e 6f 6c 6f 67 79 20-43 6f 2e 2c 20 4c 74 64  hnology Co., Ltd

89f2d8b4  51 69 68 6f 6f 20 33 36-30 20 53 6f 66 74 77 61  Qihoo 360 Softwa
89f2d8c4  72 65 20 28 42 65 69 6a-69 6e 67 29 20 43 6f 6d  re (Beijing) Com
89f2d8d4  70 61 6e 79 20 4c 69 6d-69 74 65 64 00 00 00 00  pany Limited....

89f2d8b4  e5 8c 97 e4 ba ac e5 a5-87 e5 85 83 e7 a7 91 e6  ................
89f2d8c4  8a 80 e6 9c 89 e9 99 90-e5 85 ac e5 8f b8 00 00  ................
89f2d8d4  00 00 00 00 00 00 00 00-00 00 00 00 00 00 00 00  ................

89f2d8b4  42 65 69 6a 69 6e 67 20-4b 69 6e 67 73 6f 66 74  Beijing Kingsoft
89f2d8c4  20 53 65 63 75 72 69 74-79 20 73 6f 66 74 77 61 Security softwa
89f2d8d4  72 65 20 43 6f 2e 2c 4c-74 64 00 00 00 00 00 00  re Co.,Ltd......

北京奇元科技有限公司
89f2d8b4  e5 8c 97 e4 ba ac e9 87-91 e5 b1 b1 e5 ae 89 e5  ................
89f2d8c4  85 a8 e8 bd af e4 bb b6-e6 9c 89 e9 99 90 e5 85  ................
89f2d8d4  ac e5 8f b8 00 00 00 00-00 00 00 00 00 00 00 00  ................

89f2d8b4  42 65 69 6a 69 6e 67 20-48 75 6f 72 6f 6e 67 20  Beijing Huorong
89f2d8c4  4e 65 74 77 6f 72 6b 20-54 65 63 68 6e 6f 6c 6f  Network Technolo
89f2d8d4  67 79 20 43 6f 2e 2c 20-4c 74 64 2e 00 00 00 00  gy Co., Ltd.....

89f2d8b4  48 75 6f 52 6f 6e 67 42-6f 52 75 69 20 28 42 65  HuoRongBoRui (Be
89f2d8c4  69 6a 69 6e 67 29 20 54-65 63 68 6e 6f 6c 6f 67  ijing) Technolog
89f2d8d4  79 20 43 6f 2e 2c 4c 74-64 00 00 00 00 00 00 00  y Co.,Ltd.......

89f2d8b4  e4 b8 80 e6 99 ae e6 98-8e e4 b8 ba 28 e5 8c 97  ............(...
89f2d8c4  e4 ba ac 29 e4 bf a1 e6-81 af e6 8a 80 e6 9c af  ...)............
89f2d8d4  e6 9c 89 e9 99 90 e5 85-ac e5 8f b8 00 00 00 00  ................

89f2d8b4  e4 b8 80 e6 99 ae e6 98-8e e4 b8 ba ef bc 88 e5  ................
89f2d8c4  8c 97 e4 ba ac ef bc 89-e4 bf a1 e6 81 af e6 8a  ................
89f2d8d4  80 e6 9c af e6 9c 89 e9-99 90 e5 85 ac e5 8f b8  ................

89f2d8b4  e5 ae 89 e8 8a af e7 bd-91 e7 9b be ef bc 88 e5  ................
89f2d8c4  8c 97 e4 ba ac ef bc 89-e7 a7 91 e6 8a 80 e6 9c  ................
89f2d8d4  89 e9 99 90 e5 85 ac e5-8f b8 00 00 00 00 00 00  ................

显示全部楼层 · 发表于 2023-5-12 11:46:41

本帖最后由 wowocock 于 2023-5-12 14:38 编辑

以前测试用得利用第三方漏洞驱动操作内核，可以在这里用下，执行完后，即可运行急救箱查杀。不过厉害得木马基本把这个漏洞也封了，不过对于这个木马可以用来处理后，就能加载我们得驱动查杀了。

显示全部楼层 · 发表于 2023-5-12 22:41:38

wowocock 发表于 2023-5-12 11:46
以前测试用得利用第三方漏洞驱动操作内核，可以在这里用下，执行完后，即可运行急救箱查杀。不过厉害得木马 ...

漏洞还有能封的住的？除非不让加载任何驱动，不然分分钟被内核漏洞乱穿

显示全部楼层 · 发表于 2023-5-13 00:40:17

本帖最后由 ANY.LNK 于 2023-5-13 14:41 编辑

链接已失效，请问是否有补档，我去上报一下，需要一个长效的

显示全部楼层 · 发表于 2023-5-15 00:10:51

ANY.LNK 发表于 2023-5-13 00:40
链接已失效，请问是否有补档，我去上报一下，需要一个长效的

您有【Desktop.rar】等共1份文件待查收！即刻点击链接获取：https://wkkc.vip/s/i5wmR4p4xRCz 或进入：https://wkkc.vip 获取，在首页输入取件码：944369 ( 有效期至 :2023-05-16 00:10 )

又传了一次

显示全部楼层 · 发表于 2023-5-15 00:13:22

wowocock 发表于 2023-5-12 11:46
以前测试用得利用第三方漏洞驱动操作内核，可以在这里用下，执行完后，即可运行急救箱查杀。不过厉害得木马 ...

我这边使用的方式是先把temp目录下的NisArv.exe这个进程干掉，然后执行急救箱目录里那个急救箱运行不了被删除请将我放到其他目录改名运行后再下载使用.exe，然后就能跑起来急救箱了，但问题还是杀不干净，这次干掉了重启又回来了

[病毒样本] rootkit x1

本帖子中包含更多资源