高质量，多引擎只有5家报，附救援区链接

zhou0197

这个文件看起来很可疑：

解压之后：


大了好多………………

多引擎：https://www.virustotal.com/file/ ... nalysis/1338872616/


目前我自己的虚拟机好像跑不出行为…………


救援区链接：http://bbs.kafan.cn/forum.php?mo ... ;extra=#pid24866151


PS：火眼有结果了！！
https://fireeye.ijinshan.com/ana ... 2d5526f41d1a45b7a6e

寻找杀软进程？？这个很奇怪！


各位给点意见啊…………该上报的上报…………

不过至今还未发现创建文件，修改HOSTS的行为…………


最新进展：

6楼发现此样本应该和救援区帖子中HOSTS被修改的情况有千丝万缕的联系（winhex结果）。

15楼和22楼表面此样本应该很“水”，代码可以大量压缩。

救援区的LZ在清除此样本以及另一个驱动之后，HOSTS修改的现象消失。





又出新情况了……………………又出现了？？
http://bbs.kafan.cn/forum.php?mo ... ;page=2#pid24876002





今天最新情况：


重大发现！

在写入了LZ提供的api.txt，以及那个ini文件，以及刚才提供的MSinfo文件夹之后，运行3525.exe（就是那个样本，修改名字），成功跑出行为！



PS:
3525.exe放到c:\program files\common files\microsoft shared\3525\3525\3525.exe

api.txt以及那个ini文件，放到MSinfo文件夹里面，然后文件夹放到C:\Program Files\Common Files\Microsoft Shared\MSInfo



2012-6-6 20:49:32    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\program files\common files\microsoft shared\3525\3525\3525.exe
命令行: "C:\Program Files\Common Files\Microsoft Shared\3525\3525\3525.exe"
规则: [应用程序]*

2012-6-6 20:49:33    创建注册表项    允许
进程: c:\program files\common files\microsoft shared\3525\3525\3525.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{10030850-A707-22d2-9CBD-0000F87A469H}
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\*

2012-6-6 20:49:33    创建新进程    允许
进程: c:\program files\common files\microsoft shared\3525\3525\3525.exe
目标: c:\windows\system32\svchost.exe
命令行: svchost.exe
规则: [应用程序]*

2012-6-6 20:49:33    修改其他进程的内存    允许
进程: c:\program files\common files\microsoft shared\3525\3525\3525.exe
目标: c:\windows\system32\svchost.exe
规则: [应用程序]*

2012-6-6 20:49:34    修改其他进程的线程    允许
进程: c:\program files\common files\microsoft shared\3525\3525\3525.exe
目标: c:\windows\system32\svchost.exe
规则: [应用程序]*

2012-6-6 20:49:34    修改文件    允许
进程: c:\program files\common files\microsoft shared\3525\3525\3525.exe
目标: C:\WINDOWS\system32\drivers\etc\hosts
规则: [文件组]系统关键文件 -> [文件]c:\windows\system32\drivers\etc

2012-6-6 20:49:35    创建文件    允许
进程: c:\windows\system32\svchost.exe
目标: C:\WINDOWS\system32\drivers\stacsv.sys
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2012-6-6 20:49:35    创建注册表项    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DBKDRVR54
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2012-6-6 20:49:36    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DBKDRVR54\Start
值: 0x00000003(3)
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start

2012-6-6 20:49:37    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DBKDRVR54\ImagePath
值: \??\C:\WINDOWS\system32\drivers\stacsv.sys
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath

2012-6-6 20:49:38    加载驱动程序    允许
进程: c:\windows\system32\services.exe
目标: c:\windows\system32\drivers\stacsv.sys
规则: [应用程序]c:\windows\system32\services.exe

2012-6-6 20:49:38    创建注册表项    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ASTTools
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2012-6-6 20:49:39    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ASTTools\Start
值: 0x00000003(3)
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start

2012-6-6 20:49:40    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ASTTools\ImagePath
值: \??\C:\WINDOWS\system32\drivers\SuperDeletor.sys
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath

2012-6-6 20:49:40    加载驱动程序    允许
进程: c:\windows\system32\services.exe
目标: c:\windows\system32\drivers\superdeletor.sys
规则: [应用程序]c:\windows\system32\services.exe

2012-6-6 20:51:16    访问网络    允许
进程: c:\windows\system32\svchost.exe
目标: TCP [本机 : 1034] ->  [118.244.1.71 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]


求高手指正！！


成功提取到两个驱动（用MD拦截加载的方法）：



两个驱动的多引擎：
https://www.virustotal.com/file/ ... nalysis/1338997367/
https://www.virustotal.com/file/ ... nalysis/1338997471/



今天的进展！

好消息是，经过多番尝试，外加旁门左道什么的，我发现我似乎成功了………………目前病毒无复发！

秘诀竟然是那4个字————安全模式！！


这个开始我真的没有想到（因为连PE下面也找不到驱动）。

进了安全模式之后，在正常系统下不可一世，让我头疼不已的那些驱动模块，各种钩子通通不见了。

我所做的就是：
1.用XT灭掉C:\Program Files\Common Files\Microsoft Shared\3525\3525\3525.exe这个文件以及其启动项。
2.直接进我的电脑，打开C:\Program Files\Common Files\Microsoft Shared\，把下面类似于3525这样全是数字的文件夹全部删除（如果有的话）。
3.进入C:\Program Files\Common Files\Microsoft Shared\MSInfo\文件夹，删除api.txt ,time.txt ,dns.txt ,win.txt ,zhu.txt ,IEFILES5.INI这几个文件。

然后重新启动回正常系统，驱动模块没了，钩子没了，目前看来一切正常了…………


实在出乎我的意料啊…………

风亡

消停

完整路径: f:\样本\mstscccc.exe
威胁: WS.Reputation.1
____________________________
____________________________
在电脑上的创建时间 不可用
上次使用时间 2012-6-5 ( 13:36:07 )
启动项目 否
已启动 否
____________________________
____________________________
未知
诺顿社区中使用此文件的用户数量: 未知
____________________________
未知
此文件版本当前未知。
____________________________
中
此文件具有中等程度风险。
____________________________
威胁详细信息
威胁类型: 智能网络威胁。 很多迹象表明此文件不可信任，不安全
____________________________
http://bbs.kafan.cn/forum.php?mo ... Dc5OTA2N3wxMzAyMTQ1 已下载文件mstscccc.exe
威胁名称:
WS.Reputation.1自
bbs.kafan.cn
____________________________
文件操作
文件: f:\样本\mstscccc.exe
已删除
____________________________
文件指纹 - SHA:
83a0132f6c88b38a40675e2e79a069b85a0a1a61b87b92877519b1fc3c8fee24
____________________________
文件指纹 - MD5:
5158d02e2ebc06b85510309b6124ba35
____________________________

Howl

看不到行为

Nocria

虚拟机内没有发现任何行为。

To ESET.

GiBson

好吧，虽然文件大了点，我还是上传comodo在线沙盘分析，看下行为再判断吧，等下回结果。。。。（结果有了，不过很奇怪，无行为？？？？？http://camas.comodo.com/cgi-bin/ ... 2877519b1fc3c8fee24）
随便用winhex打开该文件时，看到这些东东
在多特软件站上下载了一个tuneup（不是修改版的）来和这个比较总觉得怪怪的

zhou0197

GiBson 发表于 2012-6-5 15:04
好吧，虽然文件大了点，我还是上传comodo在线沙盘分析，看下行为再判断吧，等下回结果。。。。（结果 ...

会不会包含了大量的垃圾代码，真正有用的其实就是修改HOSTS？

GiBson

zhou0197 发表于 2012-6-5 15:33
会不会包含了大量的垃圾代码，真正有用的其实就是修改HOSTS？

最好就是在虚拟机下跑下，然后再看下虚拟机里的系统的hosts文件有没有被修改，总感觉这程序怪怪的，我用winhex打开我从多特下载的tuneup都没发现有这些（虽然版本有点不同，但是不至于相差那么多吧）

XMonster

zhou0197

GiBson 发表于 2012-6-5 15:38
最好就是在虚拟机下跑下，然后再看下虚拟机里的系统的hosts文件有没有被修改，总感觉这程序怪怪的，我用w ...

我就是虚拟机跑，和楼上一样，无人发现恶意行为（不知道要什么触发条件）。


你和我感觉一样，觉得就是不对劲…………

现在不知道是tuneup的某个文件被修改成病毒呢？还是压根就是伪装成tuneup，而没有其中的任何功能？