11.29新版银狐（体积很小）

wowocock

wwwab 发表于 2024-11-30 09:14
@wowocock @火绒工程师 请注意，该批银狐换了一个VulnDriver，SHA-256: 15e84d040c2756b2d1b6c3f99d5a1079d ...

换汤不换药
case 0xB4A00404:
              if ( (unsigned int)v9 >= 0x18 )
                return (unsigned int)TerminateProcById((__int64)Irp->AssociatedIrp.MasterIrp);
              break;

__int64 __fastcall TerminateProcById(__int64 a1)
{
  unsigned int v2; // ebx
  void *Pid; // rax
  unsigned int v4; // edi
  NTSTATUS v6; // eax
  bool status; // sf
  unsigned int v8; // ecx
  unsigned int v9; // edi
  unsigned int v10; // eax
  struct _CLIENT_ID ClientId; // [rsp+20h] [rbp-48h] BYREF
  struct _OBJECT_ATTRIBUTES ObjectAttributes; // [rsp+30h] [rbp-38h] BYREF
  void *ProcessHandle; // [rsp+78h] [rbp+10h] BYREF

  v2 = 0;
  if ( MmIsAddressValid((PVOID)a1) )
  {
    Pid = *(void **)(a1 + 4);
    v4 = 0;
    if ( !Pid )
      return 3221225485i64;
    memset(&ObjectAttributes.RootDirectory, 0, 20);
    ObjectAttributes.SecurityDescriptor = 0i64;
    ObjectAttributes.SecurityQualityOfService = 0i64;
    ClientId.UniqueThread = 0i64;
    ObjectAttributes.Length = 48;
    ClientId.UniqueProcess = Pid;
    while ( 1 )
    {
      v6 = ZwOpenProcess(&ProcessHandle, 1u, &ObjectAttributes, &ClientId);
      status = v6 < 0;
      v2 = v6;
      if ( !v6 )
        break;
      v8 = v4++;
      if ( v8 >= 3 )
      {
        status = v6 < 0;
        break;
      }
    }
    if ( !status )
    {
      v9 = 0;
      do
      {
        v2 = ZwTerminateProcess(ProcessHandle, 0);
        if ( !v2 )
          break;
        v10 = v9++;
      }
      while ( v10 < 3 );
      ZwClose(ProcessHandle);
    }
  }
  return v2;
}

wowocock

wwwab 发表于 2024-11-30 09:14
@wowocock @火绒工程师 请注意，该批银狐换了一个VulnDriver，SHA-256: 15e84d040c2756b2d1b6c3f99d5a1079d ...

我怀疑是木马作者自己打的WHQL签名，现在木马作者都很有钱。我们要打个签名千难万险，各种申请，人家分分钟的事。