был пойман например сегодня с помощью wincheck
собс-но вот по этой строчке:
Image notifiers:
[0] FFFFF800039EF7C0 \SystemRoot\system32\ntoskrnl.exe
[1] FFFFFA800360B6C8 UNKNOWN
отлично-отлично ящетаю, бгг
Дроппер залит на vt - не ловит практически никто. продолжение ждите через месяц, как обычно
Забавно, здесь все тоже самое, только в нашем дропере не было дровины для x64. Она в принципе нужна только для инжекта пейлоада в юзермоде, который собственно и творит всякое непотребство.
ОтветитьУдалитьImage notifiers:
ОтветитьУдалить[0] F2C91442 \??\C:\Program Files\Sandboxie\SbieDrv.sys
[1] FF349B03 UNKNOWN
apfn[98] patched by e:\analysis\!samples\Rootkits\TDL\tdl4 aka alureon.DX\wincheck.exe, addr 0052005C
apfn pfnFindResourceExA patched by C:\WINDOWS\system32\kernel32.dll, addr 7C835F90
apfn pfnLoadResource patched by C:\WINDOWS\system32\kernel32.dll, addr 7C80A045
apfn pfnSizeofResource patched by C:\WINDOWS\system32\kernel32.dll, addr 7C80BCF9
Так реагирует на tdl4 aka alureon.DX
Вообще классная тулза, пригодится)