NIS 2010 好象不怎么样

ll123456

可能你只有1个C盘，那个样本的危害是，感染非C盘的所有EXE文件！问题可能就出在这里！

jpzy

刚刚又测试了一次NIS2010。

这次是双分区，没有HIPS，单NIS2010，更新到最新。特征码仍然不报。解压缩样本，一切正常，系统没问题。

双击运行样本后，任务管理器正常，没有被终止（09版的话，在Sonar起作用之前，任务管理器会被病毒终止），Sonar拦截正常，跟前面截图相同。第二分区内放置的exe文件均正常，无被感染迹象。分区打开正常。

ll123456

楼上的评测精神值得鼓舞！感谢！

冲冲

检测方为自动防护=特征码查杀，这个明明过了特征码，不运行怎么可能报，即使运行后报了也是SONAR报，还有，刚解压没运行怎么可能发作

ADAMS有图吗？你说的一切都是那么的不符合逻辑

[ 本帖最后由 冲冲 于 2009-9-15 13:07 编辑 ]

jpzy

LZ的样本分析。



跟前面做的一样，样本本身释放一个winlog.exe



运行winlog.exe。mobilesearchsetup.exe这个样本本身在后续没有任何行为了。它只是个载体，行为就是释放winlog并调用。





winlog.exe删除两个注册表项。后续感染行为里，每次感染结束，都要删除这两个项目（JP惭愧，不知道这两个项目是做什么的）





修改隐藏文件设置。



将自身注册为服务。



连接远程地址（允许了以后，估计被感染机器就是肉鸡一台了）



向任务管理器发送消息。WM_close，允许的话，任务管理器就被结束了。以后，winlog.exe会定期发送此信息。任务管理器根本无法打开。



开始感染D盘下的文件。首先感染了Autoruns。感染一开始，首先创建一个文件名为eve+被感染文件名.exe的文件



提取被感染文件的ico文件。不过提取方法可能有点问题，导致提取出来的ico（图标）文件都变成16色的了。



创建一个临时文件。（后续的文件名为RCX2.tmp…………）



修改创建的tmp文件。tmp文件变成与病毒体一样大小。



删除创建的“eve+被感染文件名.exe”的文件。



修改被感染文件。至此感染行为结束。Autoruns.exe被感染。










感染NIS2009安装文件的过程。。。



此时已经没有必要继续运行了。打开D盘根目录，可以看到被感染的文件，ico文件和tmp文件。



分区打开关联被修改为c:\windows\winlog.exe。

此样本的主要行为就是感染C分区以外的exe文件和修改磁盘分区打开方式。并没有更多的行为。

根据之前做的NIS09的测试。JP大胆的猜测，这个样本，即使是使用NIS09，中招的可能也不大。因为在我测试NIS09的时候，虽然样本本体没有被杀掉，但是它并没有后续的动作。而释放出来的winlog.exe运行后很快就被Sonar干掉了。如有必要，JP可以考虑再测一次NIS09。不过估计结果跟JP的猜测差不多。

jpzy

到我回复完帖子为止（右下角有时间显示），样本本体仍然在运行着。并没有后续的动作。截图出来证明一下。

冲冲

这些都不重要，很正常的毒做的事，但49楼怎么那么怪（参照我54L说的）

jpzy

呵呵，JP做的，不过是因为42楼的一句话而已。

好辛苦啊~~~好在鸡丝大方…………哈哈

凝逸反毒

凝逸反毒-pe分析可以修复
凝逸反毒.分析PE,可以修复(NewHeur_PE virus)


---

                 凝逸反毒.分析PE-日志
            [凝逸反毒] (http://www.skyfa.com/nyav)

目录:C:\新建文件夹|
         1|c:\新建文件夹\exe压缩.exe|  2C6A307B|         
          |┣1         |  D78C3BAA|         
          |┣2         |  1AE4FC96|         
         2|c:\新建文件夹\pfwliveupdate.exe|  1D74DF01|         
          |┣1         |  A4302CC0|         
          |┣2         |  5ADC87D6|         
         3|c:\新建文件夹\北斗3.5.exe|  20EE44CB|         
          |┣1         |  6428E8BB|         
          |┣2         |  7475FA0B|         
         4|c:\新建文件夹\北斗4.1破解版.exe|  4F2A5471|         
          |┣1         |  6428E8BB|         
          |┣2         |  0E84EC77|         
         5|c:\新建

Plutonium

其实主要是Norton比较安静…