r77rootkit计划任务powershell执行注册表代码，开机注入所有进程

显示全部楼层 · 发表于 2024-7-22 19:04:31

本帖最后由 ANY.LNK 于 2024-7-22 19:05 编辑

微软扫描未报告，在虚拟机中运行未报告，但也没见到可疑的模块，重启后计划任务消失，请问计划任务的具体配置如何啊？

显示全部楼层 · 发表于 2024-7-22 19:06:26

ANY.LNK 发表于 2024-7-22 19:04
微软扫描未报告，在虚拟机中运行未报告，但也没见到可疑的模块，请问计划任务的具体配置如何啊？

先导入reg，再计划任务里点导入，选择tasks目录里的导入。然后运行计划任务，会调用powershell注入dllhost.exe
我虚拟机测试过了，有时候要反复操作。成功的话，打开注册表会很慢，尤其是展开hklm\software\classes时特别慢。

显示全部楼层 · 发表于 2024-7-22 19:10:01

本帖最后由 ANY.LNK 于 2024-7-22 19:11 编辑

落华无痕发表于 2024-7-22 19:06
先导入reg，再计划任务里点导入，选择tasks目录里的导入。然后运行计划任务，会调用powershell注入dllhos ...

已按要求导入注册表，导入XML完成，重启完成

配置有要求吗，SYSTEM权限，配置是按哪个系统（XP，7，还是10）？
不过重启后计划任务，和原始文件夹都不见了，算是运行成功了吗？

显示全部楼层 · 发表于 2024-7-22 19:14:10

ANY.LNK 发表于 2024-7-22 19:10
已按要求导入注册表，导入XML完成，重启完成

配置有要求吗，SYSTEM权限，配置是按哪个系统（XP，7，还 ...

我测试虚拟机是11，其余系统还没测试。

显示全部楼层 · 发表于 2024-7-22 19:17:46

落华无痕发表于 2024-7-22 19:14
我测试虚拟机是11，其余系统还没测试。

我的也是，问的是最下面的那一条

显示全部楼层 · 发表于 2024-7-22 20:14:23

本帖最后由落华无痕于 2024-7-22 20:56 编辑

ANY.LNK 发表于 2024-7-22 19:17
我的也是，问的是最下面的那一条

我直接导入，什么都没改。依赖.net3.5。exe文件：https://free.lanzoue.com/iZ72l258bw4d

显示全部楼层 · 发表于 2024-7-22 21:02:05

本帖最后由 New_Start. 于 2024-7-22 21:46 编辑

ANY.LNK 发表于 2024-7-22 19:10
已按要求导入注册表，导入XML完成，重启完成

配置有要求吗，SYSTEM权限，配置是按哪个系统（XP，7，还 ...

我也是什麽都沒改，按照楼主方法加载，环境win7x32成功

这货掩耳盗铃之术，直接隐藏了桌面自己的文件

卡巴斯基已经可以清除，测试了一下21.7和KES11.6都能清除。

显示全部楼层 · 发表于 2024-7-22 21:34:58

New_Start. 发表于 2024-7-22 21:02
我也是什麽都沒改，按照楼主方法加载，环境win7x32成功

这货掩耳盗铃之术，直接隐藏了桌面自己的文件
...

后来用ARK工具看到了，那应该是运行成功了

显示全部楼层 · 发表于 2024-7-22 22:10:28

avast

显示全部楼层 · 发表于 2024-7-22 22:50:41

这玩意不怎么算是rootkit吧，一般rootkit都指的是驱动

https://bytecode77.com/

[病毒样本] r77rootkit计划任务powershell执行注册表代码，开机注入所有进程