查看: 7998|回复: 13
收起左侧

[病毒样本] FlashGet = Downloader ?

[复制链接]
domino
发表于 2008-11-9 15:22:23 | 显示全部楼层 |阅读模式
FlashGet = Downloader ?

因为系统刚装好建立备份.上网抓些更新文件.于是扫毒软体就侦测到电脑有病毒.
当初以为是误报,于是就重开机.发现有一个DLL注入进程.过没多久.电脑又发现伪装的
系统元件病毒.而随机病毒名称注入并有替换系统文件.

发现问题来源
1.我确定软体的来源都是干净的..包括FlashGet 也是官方下载.
2.电脑所有更新周边软体更新也全更新了.所以能利用的漏洞也有限.
3.也排除是透过浏览器下载运行.因为如果要执行会有警告.所以这点排除.
4.既然不知道是怎样感染.那就来强迫自己再次中毒.寻找病毒是透过什么途径进入到电脑里.
先还原系统.不上网,进行扫毒.并没有发现病毒.进程中也没有dll 存在.所以开始模拟把刚

之前所有去过的网站,使用过的软体通通运行一次.开始寻找病毒来源.
Flashget ?
第一次开启FlashGet, 程式会自动连结到官方网站下载更新档案.
就算您取消更新.FlashgGet 程式开启还是会私下连结
1.
透过分析可以得知 (如下图)






2.下载完毕时.就开始准备执行updates.cab解压缩出来的 EXE 物件.
说明确实是Flashget执行updates.exe 这程式.



利用 rundll32 来注册自己

rundll32.exe C:\WINDOWS\system32\mstest.dll GetDir C:\PROGRA~1\FlashGet\updates.exe





重开机后... mstest.dll 已经悄悄的注入到 svchost.exe



因为每次释放的文件都随机的.所以省略一些文件释放和修改系统的图文.
这点有兴趣的朋友可以自行分析.







所知释放文件名称都是随机. 但是档案都是同一个



mstest.dll
msbios.dll
upsmsg.dll
mstKde.dll
mstach.dll
msfont.dll
msGDI1.dll
mevent.dll
xmlpro.dll
dmserveresl.dll
dmserver.dll 替换修改为病毒 dmserver.dll
taskmager.exe 透过注入后下载的伪装文件


http://www.virustotal.com/zh-tw/analisis/56213da8dac8ffa4ccba4caf7902e68e

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +10 人气 +1 收起 理由
jimmyleo + 10 + 1 分析透彻 欢迎来卡饭

查看全部评分

Palkia
发表于 2008-11-9 15:24:03 | 显示全部楼层
样本区。。。
jimmyleo
发表于 2008-11-9 15:25:29 | 显示全部楼层
可能官方安装包都被篡改了?

这个问题上星期听闻一例 起初以为是误报没有在意

后来时间关系也没有深入

Lz分析得很透彻丫
jimmyleo
发表于 2008-11-9 15:27:03 | 显示全部楼层
Palkia
发表于 2008-11-9 15:32:55 | 显示全部楼层
Antivirus Version Last Update Result
AhnLab-V3 2008.11.7.1 2008.11.09 -
AntiVir 7.9.0.26 2008.11.07 TR/Hijacker.Gen
Authentium 5.1.0.4 2008.11.08 -
Avast 4.8.1248.0 2008.11.08 Win32:Trojan-gen {Other}
AVG 8.0.0.161 2008.11.08 SHeur.CRTZ
BitDefender 7.2 2008.11.09 Trojan.Dmservinf.A
CAT-QuickHeal 9.50 2008.11.08 Trojan.Agent.aloj
ClamAV 0.94.1 2008.11.09 -
DrWeb 4.44.0.09170 2008.11.09 Trojan.MulDrop.21329
eSafe 7.0.17.0 2008.11.06 -
eTrust-Vet 31.6.6198 2008.11.07 -
Ewido 4.0 2008.11.08 -
F-Prot 4.4.4.56 2008.11.08 -
F-Secure 8.0.14332.0 2008.11.09 Trojan.Win32.Agent.aloj
Fortinet 3.117.0.0 2008.11.08 W32/Agent.ALOJ!tr
GData 19 2008.11.09 Trojan.Dmservinf.A
Ikarus T3.1.1.45.0 2008.11.09 Virus.Win32.Trojan
K7AntiVirus 7.10.520 2008.11.08 Trojan.Win32.Agent.aloj
Kaspersky 7.0.0.125 2008.11.09 Trojan.Win32.Agent.aloj
McAfee 5428 2008.11.08 Generic Dropper
Microsoft 1.4104 2008.11.09 TrojanDropper:Win32/Mesoum.A
NOD32 3597 2008.11.08 -
Norman 5.80.02 2008.11.07 W32/Agent.JDSD
Panda 9.0.0.4 2008.11.08 Trj/Multidropper.ROM
PCTools 4.4.2.0 2008.11.08 -
Prevx1 V2 2008.11.09 Worm
Rising 21.02.61.00 2008.11.09 -
SecureWeb-Gateway 6.7.6 2008.11.09 Trojan.Hijacker.Gen
Sophos 4.35.0 2008.11.08 -
Sunbelt 3.1.1785.2 2008.11.08 -
Symantec 10 2008.11.09 -
TheHacker 6.3.1.1.146 2008.11.08 -
TrendMicro 8.700.0.1004 2008.11.07 -
VBA32 3.12.8.9 2008.11.09 Trojan.Win32.Agent.aloj
ViRobot 2008.11.7.1457 2008.11.07 -
VirusBuster 4.5.11.0 2008.11.08 -
littlecho
发表于 2008-11-9 15:34:34 | 显示全部楼层
恩!昨天我已經上報dmserver.dll的樣本給費爾!費爾在昨晚已經發布更新檔了
shion
发表于 2008-11-9 15:43:53 | 显示全部楼层
咖啡也报,看来病毒是真
domino
 楼主| 发表于 2008-11-9 16:30:35 | 显示全部楼层
我使用的是1.94 繁体版本~ 因为听说 1.94 以后就使用P2P 技术分享资料...
感觉不怎喜欢就持续使用这旧版本.

a3e554800657c1a314115f73aff6119a  flashget194tw.exe

数位签名为 2007.9.11 号
fzz8848
头像被屏蔽
发表于 2008-11-9 16:32:59 | 显示全部楼层
简体中文版没有这种情况吧?
西风萧雨
发表于 2008-11-9 16:38:30 | 显示全部楼层

微点报“已知木马”

微点报“已知木马”特征报的看来是马了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-17 08:52 , Processed in 0.140179 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表