#Gh0stRAT #灰树蛙

显示全部楼层 · 发表于 2023-11-15 21:14:56

tony099 发表于 2023-11-15 21:08
把释放的文件删除就可以了吗，求助一下

楼主的微信链接里面有写处置建议

显示全部楼层 · 发表于 2023-11-15 21:15:21

TrendMicro
Cryp_PESpin

显示全部楼层 · 发表于 2023-11-15 21:25:40

本帖最后由 swizzer 于 2023-11-15 21:33 编辑

tony099 发表于 2023-11-15 21:08
把释放的文件删除就可以了吗，求助一下

可以求助你们测试组的专业人员。
嗯，当然也可以参考1L的公众号文章。

显示全部楼层 · 发表于 2023-11-15 21:28:28

居然还有禁用wd的代码

显示全部楼层 · 发表于 2023-11-15 22:03:50

anthonyqian 发表于 2023-11-15 21:10
APC响应了，玄学。。。。

老哥，苏联红军呢？拉出来溜溜啊

显示全部楼层 · 发表于 2023-11-15 22:59:44

显示全部楼层 · 发表于 2023-11-15 23:02:09

显示全部楼层 · 发表于 2023-11-15 23:04:53

wwwab 发表于 2023-11-15 23:02
利用Zemana驱动不是之前就已经有过先例了嘛

https://huorong.cn/safe/16865527811024.html

Zemana那个漏洞驱动早就被玩烂了（

显示全部楼层 · 发表于 2023-11-15 23:07:09

本帖最后由 wwwab 于 2023-11-15 23:09 编辑

swizzer 发表于 2023-11-15 23:04
Zemana那个漏洞驱动早就被玩烂了（

已知的窃密和黑灰产组织此前未曾有通过Gh0st远控木马及其变种加载Rookit开展BYOVD攻击的先例。

所以说这篇文章有点....顶多是之前国内黑产都是用的更高级的控，或者说用的还是基于gh0st的控只不过还没有被确切分析证实

顺着他那样搞的话以后所有使用Zemana漏洞驱动的样本都有可能会被误归类为所谓的“灰树蛙”家族了，但是实际上并非如此啊

显示全部楼层 · 发表于 2023-11-15 23:07:59

wwwab 发表于 2023-11-15 23:07
所以说这篇文章有点....顶多是之前国内黑产都是用的更高级的控，或者说用的还是基于gh0st的控只不过还没 ...

不，应该说之前的属于未知的组织

[病毒样本] #Gh0stRAT #灰树蛙