详细内容或原文请订阅后点击阅览
恶意软件分析:FK_Undead 的内核态 Rootkit 加载器
我们发现了恶意软件家族 FK_Undead 的 Windows rootkit 加载程序 [F1]。该恶意软件家族以通过操纵代理配置拦截用户网络流量而闻名。据我们所知,rootkit 加载程序之前尚未被正式分析过。根据任何 Windows 内核驱动程序的要求,rootkit 加载程序已使用 Microsoft Windows 硬件兼容性发布者证书有效签名(参见指纹 [T1])。它与不同的 Windows 版本兼容并受 VMProtect 保护。
来源:G DATA _恶意软件[F1] Rootkit 加载程序 (ws3ifsl.sys / EventStore.dat)
adf0bed4734b416c0c958e096593e93726ba9eb2b39c88645e02033755e16a1b
[F2] Rootkit 植入程序
046442a7e16166225a0c070bf8d311caddc48cbe61a4b82d462d8dd4501cfd00
[F3] Deaddrop 1 (auth.bin)
33a305cf2ff910c833e3c8efd77e9f55fc1344215f75a4c8feda6fd5d8e98628
[F4] Deaddrop 2 (auth7.bin)
6af4343fd0ce9b27a2862f75d409d4021efc3160c40a5bda174b2ad30086722d
[F5] 加密的 FK_Undead Payload 1 (txlsddlx64.dat)
10d8591dd18e061febabe0384dc64e5516b7e7e54be87ca0ac35e11f698b0cc2
[F6] 加密的 FK_Undead Payload 2 (txlsddlx64_7.dat)
ca8061f5ee59cba8f8f4e036eddc5f470e0936ebec470a0ebd4e84ab0475ece2
[F7] 解密的 FK_Undead Payload 1 (txlsddlx64.dat)
708f4f45f7515d2b94de5772ee883cfd579dbff216e8a8db3181d2cf0e2a2770
[F8] 解密的 FK_Undead Payload 2 (txlsddlx64_7.dat)
1f5dcc5b0916a77087f160130d5eadb26fe8ee9d47177d19944773d562c03e8e