-
-
[旧帖]
[分享]对一个无提示关360最新5.0版本保险箱病毒的简单分析
0.00雪花
-
发表于:
2009-2-12 23:14
4330
-
[旧帖] [分享]对一个无提示关360最新5.0版本保险箱病毒的简单分析
0.00雪花
首先声明本人菜鸟,大牛不要骂人!
首先bingdu.exe,运行后
"cmd /c cacls %s /e /p everyone:f"
"cmd /c cacls \"%s\" /e /p everyone:f"
"cmd /c sc config ekrn start= disabled"
"cmd /c taskkill /im ekrn.exe /f"
"cmd /c taskkill /im egui.exe /f"
"cmd /c taskkill /im ScanFrm.exe /f"
然后释放DLL到\\system32\\killkb.dll,用RUNDLL32执行里面的 droqp函数来实现加载RESSDT驱动,创建"\\\\.\\KILLKB"对象,来实现RESSDT功能,
最好是关杀软,下载,释放另一个update.dll,来实现内部网的MS08067漏洞的传播。
有个问题,我测试了一下,在修复掉SSDT的情况下,360保险箱,是不能结束进程的。
而他的程序却可以无提示结束掉最新的保险箱。
用NOTEPAD看了下驱动,发现
ObReferenceObjectByHandle p_stricmp pPsProcessType RtlInitUnicodeString ?IofCompleteRequest IIoDeleteDevice KIoDeleteSymbolicLink ZwOpenProcess ?ZwClose ?ZwAssignProcessToJobObject ?ZwCreateJobObject NZwTerminateJobObject EKeServiceDescriptorTable AIoCreateSymbolicLink 8IoCreateDevice ntoskrnl.exe h_except_handler3 M KfLowerIrql D KeRaiseIrqlToDpcLevel HAL.dll
难道是用ZwAssignProcessToJobObject 干进程的?
解压密码:bingdu
[课程]FART 脱壳王!加量不加价!FART作者讲授!