收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 已测能干掉火绒,360安全卫士,其他未测。
1234下一页
返回列表 发新帖
查看: 2770|回复: 30
收起左侧

[病毒样本] 已测能干掉火绒,360安全卫士,其他未测。

  [复制链接]
lixihong10
发表于 昨天 12:01 | 显示全部楼层 |阅读模式
在隔壁论坛看到的原样本地址下载:https://homelyl.lanzoue.com/iW8Qv2zn20yh 密码:52pj

压缩密码:52pojie




从样本中提取了干掉火绒和360部分,其他杀软未测试,猜测国产杀软难逃一死。


压缩密码:infected









本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +3 收起 理由
火绒爃 + 3 版区有你更精彩: )

查看全部评分

回复

举报

ulyanov2233
发表于 昨天 12:26 | 显示全部楼层
本帖最后由 ulyanov2233 于 2025-7-1 12:43 编辑

原文件essp扫描miss,卡巴斯基扫描miss天穹沙箱kill 天穹动态分析沙箱 | 分析报告卡巴op上传后kill 估计很快云拉黑Kaspersky Threat Intelligence Portal — Report — 412CEEFC575C651831340C7195EA6E6191C0A78B245B9B9B.vt
13/72:..VirusTotal - File - 412ceefc575c651831340c7195ea6e6191c0a78b245b9b9b98333676ae300550
回复

举报

scottxzt
发表于 昨天 12:33 | 显示全部楼层
名称: UDS:Trojan.Win32.Agentb.a
精确度: 确切
威胁级别: 高
对象类型: 文件
对象名称: NVIDIA.exe
对象路径: F:\结束杀软部分\结束杀软部分
回复

举报

1073328164
发表于 昨天 12:44 | 显示全部楼层
迈克菲 kill

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

tihs
发表于 昨天 12:54 | 显示全部楼层
本帖最后由 tihs 于 2025-7-1 13:24 编辑

金山毒霸拦截部分衍生物,遗漏NVIDIA.exe,依然被干掉;    360防御


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

莒县小哥
发表于 昨天 12:57 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

ongarabazanade
发表于 昨天 13:21 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

wowocock
发表于 昨天 14:30 | 显示全部楼层
_int64 __fastcall DevCtrl(__int64 DeviceObject, IRP *Irp)
{
  struct _IRP *MasterIrp; // r9
  unsigned int status; // edi
  char v5; // al

  MasterIrp = Irp->AssociatedIrp.MasterIrp;
  status = 0xC0000001;
  if ( Irp->Tail.Overlay.CurrentStackLocation->Parameters.Read.ByteOffset.LowPart == 0x2248D4 )
  {
    if ( MasterIrp && (unsigned __int8)sub_1400012B8(*(_QWORD *)&MasterIrp->Type) )
      status = 0;
  }
  else
  {
    if ( Irp->Tail.Overlay.CurrentStackLocation->Parameters.Read.ByteOffset.LowPart == 0x2248D8 )
    {
      if ( !MasterIrp )
        goto LABEL_16;
      v5 = sub_140001614(*(_QWORD *)&MasterIrp->Type);
    }
    else if ( Irp->Tail.Overlay.CurrentStackLocation->Parameters.Read.ByteOffset.LowPart == 0x2248DC )
    {
      if ( !MasterIrp )
        goto LABEL_16;
      v5 = sub_140001240(*(_QWORD *)&MasterIrp->Type);
    }
    else
    {
      if ( Irp->Tail.Overlay.CurrentStackLocation->Parameters.Read.ByteOffset.LowPart != 0x2248E0 || !MasterIrp )
        goto LABEL_16;
      v5 = TerminateProcessByPid(*(_QWORD *)&MasterIrp->Type);
    }
    if ( v5 )
      status = 0;
  }
LABEL_16:
  Irp->IoStatus.Status = status;
  IofCompleteRequest(Irp, 0);
  return status;
}
char __fastcall TerminateProcessByPid(void *a1)
{
  HANDLE ProcessHandle; // [rsp+58h] [rbp+10h] BYREF
  PEPROCESS Process; // [rsp+60h] [rbp+18h] BYREF

  Process = 0i64;
  ProcessHandle = 0i64;
  if ( PsLookupProcessByProcessId(a1, &Process) >= 0
    && ObOpenObjectByPointer(Process, 0x200u, 0i64, 1u, (POBJECT_TYPE)PsProcessType, 0, &ProcessHandle) >= 0 )
  {
    ZwTerminateProcess(ProcessHandle, 0);
    ZwClose(ProcessHandle);
  }
  if ( Process )
    ObfDereferenceObject(Process);
  return 0;
}
又是利用漏洞驱动,通过PID杀进程。

评分

参与人数 3人气 +7 收起 理由
火绒爃 + 3 很给力!
ziqianweiyang + 1 感谢解答: )
lixihong10 + 3 感谢解答: )

查看全部评分

回复

举报

wowocock
发表于 昨天 14:38 | 显示全部楼层
已经让火绒这边加入漏洞驱动库了,以后这类应该都能拦截。

评分

参与人数 1人气 +3 收起 理由
驭龙 + 3

查看全部评分

回复

举报

inhh1
发表于 昨天 14:50 | 显示全部楼层
BD ATD Killed
回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-7-2 23:33 , Processed in 0.132871 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表