囧~新免杀病毒样本一个（再不发就过期了）~囧

囧神

囧~新样本一个。。。国庆么~献点“礼物”发的样本自然也就多，这个的赶快发了，再不发就过期了~过期就作废了。。。。囧囧囧~

囧~实地测试免杀毒霸急速版。免杀贝壳~

在线扫描： 14%的杀软(5/37)报告发现病毒 （囧~基本都被过了~囧）

VirSCAN.org Scanned Report :
Scanned time   : 2009/10/02 18:02:36 (CST)
Scanner results: 14%的杀软(5/37)报告发现病毒
File Name      : 新建文件夹.rar
File Size      : 77384 byte
File Type      : RAR archive data, v1d, os
MD5            : 26b784fd535095d376c233c5322c0ec6
SHA1           : ad9135519f6d6f201518d0e3150b160e361bd7a5
Online report  : http://virscan.org/report/9027a78d4d9d986b654afda29e772715.html
Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      4.5.0.8         20091002153804    2009-10-02  4.08   -
安博士V3       2009.10.02.00   2009.10.02        2009-10-02  1.04   -
AntiVir        8.2.1.27        7.1.6.64          2009-10-01  0.30   -
安天           2.0.18          20091002.2949820  2009-10-02  0.27   -
Arcavir        2009            200910011352      2009-10-01  0.10   -
Authentium     5.1.1           200910012156      2009-10-01  1.47   W32/Heuristic-400!Eldorado (Heuristic)
AVAST!         4.7.4           091001-0          2009-10-01  0.02   -
AVG            8.5.288         270.14.3/2409     2009-10-02  0.37   -
BitDefender    7.81008.4306162 7.28015           2009-10-02  3.74   -
CA (VET)       9.0.0.143       31.6.6772         2009-10-02  8.06   -
ClamAV         0.95.2          9860              2009-10-02  0.06   -
Comodo         3.11            2489              2009-10-02  0.83   ApplicUnsaf.Win32.Spy.Agent.~chn
CP Secure      1.3.0.5         2009.09.30        2009-09-30  0.17   Troj.Downloader.W32.Agent.cay
Dr.Web         4.44.0.9170     2009.10.02        2009-10-02  5.57   -
F-Prot         4.4.4.56        20091001          2009-10-01  1.45   Possible W32/Heuristic-400!Eldorado (not disinfectable)
F-Secure       7.02.73807      2009.10.02.04     2009-10-02  0.33   -
飞塔           2.81-3.120      10.898            2009-10-02  0.46   W32/Agent.SW!tr
GData          19.8175/19.496  20091002          2009-10-02  5.71   -
ViRobot        20091002        2009.10.02        2009-10-02  0.58   -
Ikarus         T3.1.01.72      2009.10.02.73887  2009-10-02  4.15   -
江民杀毒       11.0.800        2009.09.26        2009-09-26  10.40  -
卡巴斯基       5.5.10          2009.10.02        2009-10-02  0.18   -
金山毒霸       2009.2.5.15     2009.10.2.14      2009-10-02  1.35   -
迈克菲         5.3.00          5758              2009-10-01  3.50   -
Microsoft      1.5101          2009.10.02        2009-10-02  7.18   -
Norman         6.01.09         6.01.00           2009-09-16  1.89   -
熊猫卫士       9.05.01         2009.10.01        2009-10-01  2.02   -
趋势科技       8.700-1004      6.498.01          2009-10-02  0.05   -
Quick Heal     10.00           2009.10.01        2009-10-01  1.38   -
瑞星           20.0            21.49.22.00       2009-09-30  1.28   -
Sophos         2.90.1          4.45              2009-10-02  3.92   -
Sunbelt        5424            5424              2009-09-30  1.60   -
赛门铁克       1.3.0.24        20091001.002      2009-10-01  0.08   -
nProtect       20090930.01     5696930           2009-09-30  7.72   -
The Hacker     6.5.0.2         v00026            2009-10-01  0.96   -
VBA32          3.12.10.11      20090930.1230     2009-09-30  2.50   -
VirusBuster    4.5.11.10       10.112.55/1925747 2009-10-01  2.43   -




病毒行为：
创建文件：
C:\WINDOWS\system32\identprv.dll
C:\WINDOWS\system32\wceprv.dll
在系统临时目录创建INSTB32,SYS驱动文件（用来创建服务的）完成动作后自动删除
写入文件：C:\测试夹\rpcnet.dll
之后加载进程必备的各项DLL


覆盖文件C:\新建文件夹\rpcnetp.dll
C:\新建文件夹\rpcnetp.dll
同时写入文件C:\新建文件夹\rpcnetp.dll
之后又加载了一次C:\新建文件夹\rpcnetp.dll
创建注册表项：
HKLM\System\CurrentControlSet\Services\rpcnet\Parameters
HKLM\System\CurrentControlSet\Services\rpcnet


启动进程：
C:\WINDOWS\system32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe

改变对象的安全描述符
SetKernelObjectSecurity(0x0000071c)

注入代码到其他进程：
VirtualAllocEx
WriteProcessMemory
CreateRemoteThread

创建inproc COM服务器：
{00000000-0000-0000-0000-000000000000}
{00000339-0000-0000-C000-000000000046}
{4590F811-1D3A-11D0-891F-00AA004B2E24}
{4590F812-1D3A-11D0-891F-00AA004B2E24}
{7C857801-7381-11CF-884D-00AA004B2E24}
{8BC3F05E-D86B-11D0-A075-00C04FB68820}

创建注册表项：
HKLM\System\CurrentControlSet\Services\INSTB32\\DevType
HKLM\System\CurrentControlSet\Services\rpcnet
HKLM\System\CurrentControlSet\Services\rpcnet\Parameters
HKLM\System\CurrentControlSet\Services\rpcnet\Parameters\\Security
HKLM\System\CurrentControlSet\Services\rpcnet\Parameters\\Type

写入注册表键值：
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\AppData
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Cache
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Cookies
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\History
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\MigrateProxy
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\IntranetName
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\ProxyBypass
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\UNCAsIntranet
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Common AppData
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\\Directory
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\\Paths
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\\CacheLimit
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\\CachePath
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path2\\CacheLimit
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path2\\CachePath
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path3\\CacheLimit
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path3\\CachePath
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path4\\CacheLimit
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path4\\CachePath
HKLM\System\CurrentControlSet\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings\\ProxyEnable

打开服务：
SCManager
Remote Access Connection Manager

查询服务状态
Remote Access Connection Manager

打开INSTB32
安装INSTB32
启动INSTB32
停止INSTB32
删除INSTB32

互联网络连接：
出站TCP访问：
远程端口：80
本地端口：1282
远程IP地址：209.53.113.223 (美国/加拿大)(囧~很明显的用了跳板的~囧）

[ 本帖最后由 囧神 于 2009-10-3 15:31 编辑 ]

hddu

EQ测试，挨揍规则。rpcnetp.exe自动退出。rpcnet.exe被拦截。

2009-10-02 16:13:39    创建文件      操作:阻止
进程路径:E:\新建文件夹\新建文件夹\rpcnet.exe
文件路径:C:\WINDOWS\System32\rpcnetp.exe
触发规则:所有程序规则->WINDOWS文件夹设置->%windir%\system*\*.exe

2009-10-02 16:13:39    修改其它进程内存      操作:阻止并结束进程
进程路径:E:\新建文件夹\新建文件夹\rpcnet.exe
目标进程:C:\WINDOWS\system32\svchost.exe
触发规则:所有程序规则->系统进程设置->%windir%\system32\svchost.exe

2009-10-02 16:13:39    结束/挂起进程      操作:阻止并结束进程
进程路径:E:\新建文件夹\新建文件夹\rpcnet.exe
目标进程:C:\WINDOWS\system32\svchost.exe
触发规则:所有程序规则->系统进程设置->%windir%\system32\svchost.exe

[ 本帖最后由 hddu 于 2009-10-2 16:20 编辑 ]

kaba2

赶到…

62590423

to drweb

z2665

avast miss all，to
comodo miss 2x，to

尤金卡巴斯基

囧
http://www.virustotal.com/zh-cn/ ... 9fed8a58-1254478017
http://www.virscan.org/report/90 ... 4afda29e772715.html
To KL

zzhao

小红伞miss

thelordisone

Nod32 Miss

sunnyboybbq

comodo AntiVirus miss.....

Avira miss2

Ready to MP, MP miss..................god!

COMODO D+, block all virus behavior

[ 本帖最后由 sunnyboybbq 于 2009-10-2 20:04 编辑 ]

609180550

360、微点miss