FlashGet = Downloader ?

显示全部楼层 · 发表于 2008-11-9 15:22:23

FlashGet = Downloader ?

因为系统刚装好建立备份.上网抓些更新文件.于是扫毒软体就侦测到电脑有病毒.
当初以为是误报,于是就重开机.发现有一个DLL注入进程.过没多久.电脑又发现伪装的
系统元件病毒.而随机病毒名称注入并有替换系统文件.

发现问题来源
1.我确定软体的来源都是干净的..包括FlashGet 也是官方下载.
2.电脑所有更新周边软体更新也全更新了.所以能利用的漏洞也有限.
3.也排除是透过浏览器下载运行.因为如果要执行会有警告.所以这点排除.
4.既然不知道是怎样感染.那就来强迫自己再次中毒.寻找病毒是透过什么途径进入到电脑里.
先还原系统.不上网,进行扫毒.并没有发现病毒.进程中也没有dll 存在.所以开始模拟把刚

之前所有去过的网站,使用过的软体通通运行一次.开始寻找病毒来源.
是Flashget ?
第一次开启FlashGet, 程式会自动连结到官方网站下载更新档案.
就算您取消更新.FlashgGet 程式开启还是会私下连结…
1.
透过分析可以得知 (如下图)

2.下载完毕时.就开始准备执行updates.cab解压缩出来的 EXE 物件.
说明确实是Flashget执行updates.exe 这程式.

利用 rundll32 来注册自己

rundll32.exe C:\WINDOWS\system32\mstest.dll GetDir C:\PROGRA~1\FlashGet\updates.exe

重开机后... mstest.dll 已经悄悄的注入到 svchost.exe

因为每次释放的文件都随机的.所以省略一些文件释放和修改系统的图文.
这点有兴趣的朋友可以自行分析.

所知释放文件名称都是随机. 但是档案都是同一个

mstest.dll
msbios.dll
upsmsg.dll
mstKde.dll
mstach.dll
msfont.dll
msGDI1.dll
mevent.dll
xmlpro.dll
dmserveresl.dll
dmserver.dll 替换修改为病毒 dmserver.dll
taskmager.exe 透过注入后下载的伪装文件

http://www.virustotal.com/zh-tw/analisis/56213da8dac8ffa4ccba4caf7902e68e

显示全部楼层 · 发表于 2008-11-9 15:24:03

样本区。。。

显示全部楼层 · 发表于 2008-11-9 15:25:29

可能官方安装包都被篡改了？

这个问题上星期听闻一例起初以为是误报没有在意

后来时间关系也没有深入

Lz分析得很透彻丫

显示全部楼层 · 发表于 2008-11-9 15:27:03

http://bbs.kafan.cn/thread-359755-1-1.html

病毒样本

显示全部楼层 · 发表于 2008-11-9 15:32:55

Antivirus Version Last Update Result
AhnLab-V3 2008.11.7.1 2008.11.09 -
AntiVir 7.9.0.26 2008.11.07 TR/Hijacker.Gen
Authentium 5.1.0.4 2008.11.08 -
Avast 4.8.1248.0 2008.11.08 Win32:Trojan-gen {Other}
AVG 8.0.0.161 2008.11.08 SHeur.CRTZ
BitDefender 7.2 2008.11.09 Trojan.Dmservinf.A
CAT-QuickHeal 9.50 2008.11.08 Trojan.Agent.aloj
ClamAV 0.94.1 2008.11.09 -
DrWeb 4.44.0.09170 2008.11.09 Trojan.MulDrop.21329
eSafe 7.0.17.0 2008.11.06 -
eTrust-Vet 31.6.6198 2008.11.07 -
Ewido 4.0 2008.11.08 -
F-Prot 4.4.4.56 2008.11.08 -
F-Secure 8.0.14332.0 2008.11.09 Trojan.Win32.Agent.aloj
Fortinet 3.117.0.0 2008.11.08 W32/Agent.ALOJ!tr
GData 19 2008.11.09 Trojan.Dmservinf.A
Ikarus T3.1.1.45.0 2008.11.09 Virus.Win32.Trojan
K7AntiVirus 7.10.520 2008.11.08 Trojan.Win32.Agent.aloj
Kaspersky 7.0.0.125 2008.11.09 Trojan.Win32.Agent.aloj
McAfee 5428 2008.11.08 Generic Dropper
Microsoft 1.4104 2008.11.09 TrojanDropper:Win32/Mesoum.A
NOD32 3597 2008.11.08 -
Norman 5.80.02 2008.11.07 W32/Agent.JDSD
Panda 9.0.0.4 2008.11.08 Trj/Multidropper.ROM
PCTools 4.4.2.0 2008.11.08 -
Prevx1 V2 2008.11.09 Worm
Rising 21.02.61.00 2008.11.09 -
SecureWeb-Gateway 6.7.6 2008.11.09 Trojan.Hijacker.Gen
Sophos 4.35.0 2008.11.08 -
Sunbelt 3.1.1785.2 2008.11.08 -
Symantec 10 2008.11.09 -
TheHacker 6.3.1.1.146 2008.11.08 -
TrendMicro 8.700.0.1004 2008.11.07 -
VBA32 3.12.8.9 2008.11.09 Trojan.Win32.Agent.aloj
ViRobot 2008.11.7.1457 2008.11.07 -
VirusBuster 4.5.11.0 2008.11.08 -

显示全部楼层 · 发表于 2008-11-9 15:34:34

恩!昨天我已經上報dmserver.dll的樣本給費爾!費爾在昨晚已經發布更新檔了

显示全部楼层 · 发表于 2008-11-9 15:43:53

咖啡也报,看来病毒是真

显示全部楼层 · 发表于 2008-11-9 16:30:35

我使用的是1.94 繁体版本~ 因为听说 1.94 以后就使用P2P 技术分享资料...
感觉不怎喜欢就持续使用这旧版本.

a3e554800657c1a314115f73aff6119a flashget194tw.exe

数位签名为 2007.9.11 号

显示全部楼层 · 发表于 2008-11-9 16:32:59

简体中文版没有这种情况吧？

显示全部楼层 · 发表于 2008-11-9 16:38:30

微点报“已知木马”特征报的看来是马了

[病毒样本] FlashGet = Downloader ?

本帖子中包含更多资源

评分

微点报“已知木马”

本帖子中包含更多资源