楼主: 黑羽
收起左侧

【结束】病毒要越狱?呼叫安全部队

   关闭 [复制链接]
小v可
发表于 2011-8-1 11:34:33 | 显示全部楼层
本帖最后由 小v可 于 2011-8-1 17:21 编辑

875368630@qq.com
样本名称:
cabalrider_crack.exe

MD5值:
EC8D1EC8106C09CE3A01920A7BDADFD3
2.jpg

操作系统:
window XP SP3
1.jpg

卡巴斯基版本:
卡巴斯基安全部队2012 374a.b
3.jpg
4.jpg

威胁名称:
not-a-virus:Monitor.Win32.Perflogger.cb

威胁提示:
5.jpg
6.jpg
001.jpg

(最后一张图片实在实机扫描截图)
如图所示 卡巴可以完全拦截该病毒 稍后我讲测试卡巴的沙盒 并且放行病毒行为

行为分析:
D:\cabalrider_crack.exe

PID=3360
大小=271043
MD5=EC8D1EC8106C09CE3A01920A7BDADFD3
文件操作列表

ID

文件路径         
文件操作         
大小         
MD5
1        C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\pk.bin        创建文件        N/A        N/A
2        C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\inst.dat        创建文件        N/A        N/A
3        C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\mc.dat        创建文件        N/A        N/A
4        C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\bpkhk.dll        创建文件        N/A        N/A
5        C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\bpkwb.dll        创建文件        N/A        N/A
6        C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\bpk.exe        创建文件        N/A        N/A
7        C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\CabalRider.exe        创建文件        N/A        N/A
8        C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\rinst.exe        创建文件        N/A        N/A
9        C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\CabalRider.exe        删除文件        N/A        N/A
10        C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\rinst.exe        删除文件

注册表操作列表

ID

注册表键值         
操作         
值         
数据
1        HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders        设置注册表键值        Personal        D:\Backup\我的文档
2        HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d3b2a5e2-bc11-11e0-89aa-806d6172696f}        设置注册表键值        BaseClass        Drive
3        HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d3b2a5e3-bc11-11e0-89aa-806d6172696f}        设置注册表键值        BaseClass        Drive
4        HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d3b2a5e4-bc11-11e0-89aa-806d6172696f}        设置注册表键值        BaseClass        Drive
5        HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d3b2a5e5-bc11-11e0-89aa-e25259ab0e1c}        设置注册表键值        BaseClass        Drive
6        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders        设置注册表键值        Common Documents        C:\Documents and Settings\All Users\Documents
7        HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders        设置注册表键值        Desktop        C:\Documents and Settings\Administrator\桌面
8        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders        设置注册表键值        Common Desktop        C:\Documents and Settings\All Users\桌面
9        HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap        设置注册表键值        ProxyBypass        1
10        HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap        设置注册表键值        IntranetName        1
11        HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap        设置注册表键值        UNCAsIntranet        1
12        HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders        设置注册表键值        Cache        C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
13        HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders        设置注册表键值        Cookies        C:\Documents and Settings\Administrator\Cookies
14        HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache        设置注册表键值        C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\rinst.exe        rinst


内存操作列表

ID

操作         
细节
1        创建新进程        "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\rinst.exe"


到这里我们看出 病毒文件主体并不是该文件 而是释放的文件 next 继续分析释放文件

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\rinst.exe

PID=3368
大小=0
MD5=N/A
文件操作列表

ID

文件路径         
文件操作         
大小         
MD5
1        C:\WINDOWS\system32\pk.bin        创建文件        N/A        N/A
2        C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\pk.bin        删除文件        N/A        N/A
3        C:\WINDOWS\system32\bpk.exe        创建文件        N/A        N/A
4        C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\bpk.exe        删除文件        N/A        N/A
5        C:\WINDOWS\system32\bpkhk.dll        创建文件        N/A        N/A
6        C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\bpkhk.dll        删除文件        N/A        N/A
7        C:\WINDOWS\system32\mc.dat        创建文件        N/A        N/A
8        C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\mc.dat        删除文件        N/A        N/A
9        C:\WINDOWS\system32\bpkwb.dll        创建文件        N/A        N/A
10        C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\bpkwb.dll        删除文件        N/A        N/A
11        C:\WINDOWS\system32\inst.dat        创建文件        N/A        N/A
12        C:\Documents and Settings\Administrator\Local Settings\Temp\RarSFX0\inst.dat        删除文件        N/A        N/A
13        C:\WINDOWS\system32\rinst.exe        创建文件        N/A        N/A

注册表操作列表

ID

注册表键值         
操作         
值         
数据
1        HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders        设置注册表键值        Personal        D:\Backup\我的文档
2        HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d3b2a5e2-bc11-11e0-89aa-806d6172696f}        设置注册表键值        BaseClass        Drive
3        HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d3b2a5e3-bc11-11e0-89aa-806d6172696f}        设置注册表键值        BaseClass        Drive
4        HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d3b2a5e4-bc11-11e0-89aa-806d6172696f}        设置注册表键值        BaseClass        Drive
5        HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d3b2a5e5-bc11-11e0-89aa-e25259ab0e1c}        设置注册表键值        BaseClass        Drive
6        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders        设置注册表键值        Common Documents        C:\Documents and Settings\All Users\Documents
7        HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders        设置注册表键值        Desktop        C:\Documents and Settings\Administrator\桌面
8        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders        设置注册表键值        Common Desktop        C:\Documents and Settings\All Users\桌面
9        HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap        设置注册表键值        ProxyBypass        1
10        HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap        设置注册表键值        IntranetName        1
11        HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap        设置注册表键值        UNCAsIntranet        1
12        HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders        设置注册表键值        Cache        C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files
13        HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders        设置注册表键值        Cookies        C:\Documents and Settings\Administrator\Cookies
14        HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache        设置注册表键值        C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\CabalRider.exe        CabalRider Luncher


内存操作列表

ID

操作         
细节
1        创建新进程        "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\RarSFX0\CabalRider.exe"
2        创建新进程        C:\WINDOWS\system32\bpk.exe


该可疑文件再次释放其他病毒文件 并且创建病毒主体
next 分析主体行为

C:\WINDOWS\system32\bpk.exe

PID=3384
大小=405504
MD5=E3035B490AEC5FCC4BD84A6AC4A63EC0
文件操作列表

ID

文件路径         
文件操作         
大小         
MD5
1        C:\WINDOWS\system32\bpkr.exe        重命名文件        N/A        N/A
2        C:\WINDOWS\system32\bpkr.exe        修改文件        N/A        N/A
3        C:\WINDOWS\system32\pk.bin        创建文件        N/A        N/A

注册表操作列表

ID

注册表键值         
操作         
值         
数据
1        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run        设置注册表键值        bpk        C:\WINDOWS\system32\bpk.exe
2        HKLM\SOFTWARE\Classes\PK.IE.1        创建注册表键        N/A        N/A
3        HKLM\SOFTWARE\Classes\PK.IE.1\CLSID        创建注册表键        N/A        N/A
4        HKLM\SOFTWARE\Classes\PK.IE        创建注册表键        N/A        N/A
5        HKLM\SOFTWARE\Classes\PK.IE\CLSID        创建注册表键        N/A        N/A
6        HKLM\SOFTWARE\Classes\PK.IE\CurVer        创建注册表键        N/A        N/A
7        HKLM\SOFTWARE\Classes\CLSID\{1E1B2879-88FF-11D3-8D96-D7ACAC95951A}        创建注册表键        N/A        N/A
8        HKLM\SOFTWARE\Classes\CLSID\{1E1B2879-88FF-11D3-8D96-D7ACAC95951A}\ProgID        创建注册表键        N/A        N/A
9        HKLM\SOFTWARE\Classes\CLSID\{1E1B2879-88FF-11D3-8D96-D7ACAC95951A}\VersionIndependentProgID        创建注册表键        N/A        N/A
10        HKLM\SOFTWARE\Classes\CLSID\{1E1B2879-88FF-11D3-8D96-D7ACAC95951A}\Programmable        创建注册表键        N/A        N/A
11        HKLM\SOFTWARE\Classes\CLSID\{1E1B2879-88FF-11D3-8D96-D7ACAC95951A}\InprocServer32        创建注册表键        N/A        N/A
12        HKLM\SOFTWARE\Classes\CLSID\{1E1B2879-88FF-11D3-8D96-D7ACAC95951A}\InprocServer32        设置注册表键值        ThreadingModel        Apartment
13        HKLM\SOFTWARE\Classes\CLSID\{1E1B2879-88FF-11D3-8D96-D7ACAC95951A}\TypeLib        创建注册表键        N/A        N/A
14        HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects\{1E1B2879-88FF-11D3-8D96-D7ACAC95951A}        创建注册表键        N/A        N/A
15        HKLM\SOFTWARE\Classes\TypeLib\{1E1B286C-88FF-11D3-8D96-D7ACAC95951A}        创建注册表键        N/A        N/A
16        HKLM\SOFTWARE\Classes\TypeLib\{1E1B286C-88FF-11D3-8D96-D7ACAC95951A}\1.0        创建注册表键        N/A        N/A
17        HKLM\SOFTWARE\Classes\TypeLib\{1E1B286C-88FF-11D3-8D96-D7ACAC95951A}\1.0\FLAGS        创建注册表键        N/A        N/A
18        HKLM\SOFTWARE\Classes\TypeLib\{1E1B286C-88FF-11D3-8D96-D7ACAC95951A}\1.0\0        创建注册表键        N/A        N/A
19        HKLM\SOFTWARE\Classes\TypeLib\{1E1B286C-88FF-11D3-8D96-D7ACAC95951A}\1.0\0\win32        创建注册表键        N/A        N/A
20        HKLM\SOFTWARE\Classes\TypeLib\{1E1B286C-88FF-11D3-8D96-D7ACAC95951A}\1.0\HELPDIR        创建注册表键        N/A        N/A
21        HKLM\SOFTWARE\Classes\Interface\{1E1B2878-88FF-11D3-8D96-D7ACAC95951A}        创建注册表键        N/A        N/A
22        HKLM\SOFTWARE\Classes\Interface\{1E1B2878-88FF-11D3-8D96-D7ACAC95951A}\ProxyStubClsid        创建注册表键        N/A        N/A
23        HKLM\SOFTWARE\Classes\Interface\{1E1B2878-88FF-11D3-8D96-D7ACAC95951A}\ProxyStubClsid32        创建注册表键        N/A        N/A
24        HKLM\SOFTWARE\Classes\Interface\{1E1B2878-88FF-11D3-8D96-D7ACAC95951A}\TypeLib        创建注册表键        N/A        N/A
25        HKLM\SOFTWARE\Classes\Interface\{1E1B2878-88FF-11D3-8D96-D7ACAC95951A}\TypeLib        设置注册表键值        Version        1.0


存操作列表

ID

操作         
细节
1        设置全局钩子        C:\WINDOWS\system32\bpkhk.dll

通过行为 我们得知 该病毒并不会破坏系统 主要通过插入全局钩子的方式 进行木马和流氓活动 而且还会更改自己的主程序文件名 等行为隐藏自己 而卡巴表现很完美的防御了该病毒

沙盘运行结果:
(对病毒所有可疑行为进行放行然后倒沙,看系统是否收到影响)

8.jpg
9.jpg



如图所示 卡巴沙盘完美防御病毒 真实系统并没有受到任何影响 体现了卡巴强大的防御力

感受展望:
卡巴此次防御表现稍有不足 这里提出来 希望进行改进 解压病毒的时候并没有直接报毒 而是在我扫描的时候才提示报警 这点不知道是为什么?希望改进 在虚拟机下 512内存 卡顿感觉明显 在低内存下卡机依然明显 当然我的实机4G内存 毫无鸭梨 其他表现甚是满意 完美防御病毒 沙盘也很完美的隔离了病毒 这里还有一点 一个1年前的BUG卡巴至今没有修复 这点令笔者很不爽 在WIN7下 拨号上网 如果设置成一直拨号 卡巴安全浏览和安全桌面无法联网 11就存在的问题 12仍然存在 希望尽快修复 卡巴拥有强大全面的防御能力让我选择卡巴 因此 非常喜欢卡巴 也希望卡巴越来越好~~ 当然人无完人 卡巴也有不足和缺憾之处 希望卡巴继续努力改进 给用户更多的安全保护

吐槽:给我个U盘我就满足啦~~ (没说不准卖萌吧?)

附上完整的更为工整的行为分析日志
Desktop.zip (59.7 KB, 下载次数: 40)
7.jpg

评分

参与人数 1经验 +15 收起 理由
黑羽 + 15

查看全部评分

seiyamin
发表于 2011-8-1 11:35:00 | 显示全部楼层
本帖最后由 seiyamin 于 2011-8-1 21:40 编辑

seiyamin@163.com,请回复邮件
基础任务:
样本名称:CHSEX.exe
MD5:689159FB981F3BE9CCB4E8DD7B156C81
操作系统:windows xp home edition service pack3
截图00.png
卡巴斯基版本:11.0.1.400(a..b.c)
截图04.png
威胁名称:not-a-virus:Porn-dailer.win32.Agent.ap
提示截图:
截图01.png 截图03.png
截图02.png
行文分析:卡巴迅速判断了这个样本,并非什么病毒,而是一个黄(和谐)网的拨号器,并不直接威胁电脑,只是可能被犯罪分子利用。not-a-virus:并非病毒,Porn-dailer:黄网拨号器,win32:在32位windows系统下运行,Agent:代{过}{滤}理 ap:变种编号。
感受展望:卡巴反应迅速,判断正确,处理得当,虽非病毒,但是迅速处理了潜在威胁,保障了电脑安全,体现了卡巴庞大的病毒库与对用户认真负责的态度,只是与360有些小小的打架(第二幅截图,禁止360安全卫士的进程访问该文件),同是保卫用户电脑的卫士,能有什么深仇大恨呢?和谐一点嘛。总之卡巴是很强大的,只是兼容性再提高一些就好了
拓展任务:
样本名称:CHSEX.exe
MD5:689159FB981F3BE9CCB4E8DD7B156C81
操作系统:windows xp professional service pack3
截图00.png
卡巴斯基版本:11.0.1.400(a)
截图03.png
威胁名称:not-a-virus:Porn-dailer.win32.Agent.ap
提示截图:
截图01.png
行文分析:如上图所示,卡巴禁止了操作系统图形壳访问了该样本,所以该样本无法做任何动作。后续情况如下:
截图02.png
截图04.png
显然,再次双击后,样本主体已经被删除,查看详细报告可知,这是卡巴的文件反病毒模块起了作用,在检测到该exe中的PECompact有not-a-virus:Porn-dailer.win32.Agent.ap后,禁止了操作系统的图形壳对该文件的访问。自动拨号软件不会太危害计算机,无非是刷流量。而且卡巴斯基在虚拟机中真的是“卡吧死机”,没兴趣再测试了。
但是这样也太没专业素质了,只好硬着头皮去分析一下行为吧。该样本首先加载了C:\WINDOWS\system32下的rasapi32.dll ,rasman.dll等11个动态连接库以及C:\WINDOWS\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll C:\WINDOWS\WinSxS\x86_microsoft.windows.common-controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll这三个库文件并创建注册表键值HKEY_LOCAL_MACHINE\Software\Microsoft\Tracing 并打开服务RASMAN并加载C:\WINDOWS\system32以及杀软的其他一些dll。但这些不是关键。真正的病毒行为,是在%programfiles%下释放了CHSEX.exe,并且改写了桌面的本体,并且将其释放到开始菜单。这之后创建了一系列键值,并且发送消息,总体效果是:脱壳,篡改了网络设置,实现了开机启动,与操作系统的图形壳explorer.exe,与输入法切换程序ctfmon.exe 实现联动等等。
感受展望:卡巴在第一时间阻断了操作系统的图形壳访问对该样本的访问,确保了电脑安全,并且清除了潜在威胁,展现了这个俄罗斯安全厂商的不俗实力。然而,对硬件要求太高,在低配电脑上不能流畅运行,是它的弊病之一。当然,这只是卡巴2011的早期版本,后续版本做了很大改进。希望卡巴2012等各版本能在不减少安全性的前提下继续加大流畅性的改进,不要像从前的诺顿一样,做“能杀毒的病毒”。

评分

参与人数 1经验 +15 收起 理由
黑羽 + 15

查看全部评分

天才樱木
发表于 2011-8-1 11:35:00 | 显示全部楼层
本帖最后由 天才樱木 于 2011-8-6 17:22 编辑

247920562@qq.com
样本名称:crackme8.exe  
MD5值: 8B6BB460D3FA4DD3EB8B8397FE0CB6F7
操作系统:XPsp3
卡巴斯基版本:KIS2012sch(a.b)
未报
未命名.jpg

1.jpg

2.jpg

3.jpg

4.jpg
多引擎扫描结果:http://www.virustotal.com/file-scan/report.html?id=5189e3209b2eb0c14b661d13893b5ac50af823a54e9c1f83c037b1abfb4d369f-1312618107卡巴  蜘蛛  小a等未报

评分

参与人数 1经验 +15 收起 理由
黑羽 + 15

查看全部评分

之波
发表于 2011-8-1 11:48:54 | 显示全部楼层
本帖最后由 之波 于 2011-8-6 16:35 编辑

zhibowang66@hotmail.com

基础任务:
样本名称:f2ddel.exe
MD5:6E72332865B0B2127AE099B5CCF43E1E
操作系统:windows 7 ultimate SP1 (64bit)
卡巴斯基版本:Kaspersky Internet Security 2011(11.0.2.556)(sch)
威胁名称:无
提示截图:无
      
       卡巴无任何提示,本人也并没有发现任何异常之处!
       打开ie9和firefox4,以及chrome14浏览器浏览网页,在速度上均无任何迟滞 ,在网页上也无任何病毒性反弹类;
          打开计算机,网络连接,系统各方面也一切正常;
          对样本进行智能查杀,所表示也依然为没有任何威胁

评分

参与人数 1经验 +10 收起 理由
黑羽 + 10

查看全部评分

footman
发表于 2011-8-1 11:53:11 | 显示全部楼层
本帖最后由 footman 于 2011-8-2 12:53 编辑

样本名称: f2dins
MD5值:  e48f9846f38c68aadd882c611301b557  
操作系统:xpsp3   
卡巴斯基版本:   卡巴斯基安全部队2012(12.0.0.374)
威胁名称:  HEUR:Trojan-Downloader.Win32.Generic  
提示截图:
1.JPG
2.JPG
3.JPG

评分

参与人数 1经验 +15 收起 理由
黑羽 + 15

查看全部评分

htshandong
发表于 2011-8-1 12:03:18 | 显示全部楼层
本帖最后由 htshandong 于 2011-8-1 15:25 编辑

来了来了,邮箱是
htshandong@qq.com


我之前回复的截图都不见了,希望斑竹协助处理一下,

还记得一点点:
样本名称:f2admin.exe
MD5:6F8F76795388C44AB93D1FB89400A579
操作系统:Windows7 sp1 旗舰版
卡巴斯基:kis2012.0.0.374
威胁名称:adware.win32.krdr.b
截图:

就剩这一张了,其他已经删除了

就剩这一张了,其他已经删除了

这个帖子找不到了,上面都是截图,唉

这个帖子找不到了,上面都是截图,唉

评分

参与人数 1经验 +15 收起 理由
黑羽 + 15

查看全部评分

liuhaotian0520
发表于 2011-8-1 12:14:40 | 显示全部楼层
本帖最后由 liuhaotian0520 于 2011-8-1 12:48 编辑

样本名称:firstvaccineu.exe
MD5值:683976737f36c6bdc00003ba2977c066
操作系统:Windows 7 SP1
卡巴斯基版本:12.0.0.374 (a.b)
威胁名称:Unfortunately, no result.
提示截图:
QQ截图20110801124728.jpg
QQ截图20110801124451.jpg
VirusTotal:http://www.virustotal.com/file-s ... 6ee4bba1-1312173708

评分

参与人数 1经验 +15 收起 理由
黑羽 + 15

查看全部评分

laobih
发表于 2011-8-1 12:19:54 | 显示全部楼层
本帖最后由 laobih 于 2011-8-1 13:56 编辑

laobih@sina.com

卡巴区活动任务
基础任务
样本名称:FLVPlayer_silent.exe
MD5值: 12B868BE5C99702150AFC5A0E3D0547A
操作系统:win7 home basic x64 edition(build7600)
卡巴斯基版本:kis2012 【12.0.0.374(a.b)】   
威胁名称提示

提示截图:上报成功的界面
求助卡巴斯基病毒分析实验室.png

评分

参与人数 1经验 +15 收起 理由
黑羽 + 15

查看全部评分

tvtv
发表于 2011-8-1 12:21:52 | 显示全部楼层
本帖最后由 tvtv 于 2011-8-1 13:02 编辑

958774319@qq.com
样本名称:gazpoints.exe
MD5值:c537dc933fc5d894155eb8a8b11d9b39
操作系统:Windows7SP132位
卡巴斯基版本:12.0.0.374(a,b)
威胁名称:Trojan-PSW.Win32.LdPinch.anab
扩展任务要求技术,我没有,就做到这吧
QQ截图20110801124541.jpg

评分

参与人数 1经验 +15 收起 理由
黑羽 + 15

查看全部评分

1珍惜1
发表于 2011-8-1 12:24:10 | 显示全部楼层
本帖最后由 1珍惜1 于 2011-8-5 21:11 编辑

样本名称:gbotnokia.EXE   

MD5值:BD909029ECACAE1F6B66104674D11E54

操作系统:Windows XP SP3 VOL(注:系统盘为C盘)

卡巴斯基版本:卡巴斯基安全部队 2012  

威胁名称:Trojan.Win32.Diple.wll

提示截图:
捕获kaspersky_2.PNG 捕获kaspersky_1.PNG 捕获kaspersky.PNG

行为分析:
Processes Created:
Processes Name:gbotnokia.exe
Image Name: D:\gbotnokia.exe

Created Registry Key
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\App

Deleted Registry Key
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\AppMgmt
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Base
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Boot Bus Extender
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Boot file system
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\CryptSvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\DcomLaunch
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\dmadmin
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\dmboot.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\dmio.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\dmload.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\dmserver
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\EventLog
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\File system
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Filter
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\HelpSvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Netlogon
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\PCI Configuration
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\PlugPlay
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\PNP Filter
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\Primary disk
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\RpcSs
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\SCSI Class
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\sermouse.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\sr.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\SRService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\System Bus Extender
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\vga.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\vgasave.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\WinMgmt
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{36FC9E60-C465-11CF-8056-444553540000}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E965-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E969-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E96A-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E96B-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E96F-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E977-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E97B-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E97D-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E980-E325-11CE-BFC1-08002BE10318}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{71A27CDD-812A-11D0-BEC7-08002BE2092F}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{745A17A0-74D3-11D0-B6FE-00A0C90F57DA}
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\AFD
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\AppMgmt
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Base
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Boot Bus Extender
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Boot file system
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Browser
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\CryptSvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\DcomLaunch
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Dhcp
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\dmadmin
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\dmboot.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\dmio.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\dmload.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\dmserver
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\DnsCache
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\EventLog
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\File system
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Filter
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\HelpSvc
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\ip6fw.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\ipnat.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\LanmanServer
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\LanmanWorkstation
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\LmHosts
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Messenger
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NDIS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NDIS Wrapper
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Ndisuio
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetBIOS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetBIOSGroup
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetBT
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetDDEGroup
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Netlogon
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetMan
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Network
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NetworkProvider
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\nm
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\nm.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\NtLmSsp
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\PCI Configuration
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\PlugPlay
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\PNP Filter
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\PNP_TDI
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Primary disk
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\rdpcdd.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\rdpdd.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\rdpwd.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\rdsessmgr
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\RpcSs
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\SCSI Class
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\sermouse.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\SharedAccess
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\sr.sys
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\SRService
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\SafeBoot\Network\Streams Drivers

Registry Values Read:
HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers     

File System Control Communication:
C:\Program Files\Common Files\

Memory Mapped Files:
C:\WINDOWS\system32\WS2HELP.dll
C:\WINDOWS\system32\WS2_32.dll

Load-time Dlls
C:\WINDOWS\system32\ntdll.dll
C:\WINDOWS\system32\kernel32.dll
C:\WINDOWS\system32\USER32.dll
C:\WINDOWS\system32\GDI32.dll
C:\WINDOWS\system32\WS2_32.dll
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\RPCRT4.dll
C:\WINDOWS\system32\Secur32.dll
C:\WINDOWS\system32\msvcrt.dll
C:\WINDOWS\system32\WS2HELP.dll

感受展望:
kaspersky_skin.png
感受:
卡巴在成长,卡巴在进步。 卡巴斯基安全部队2012给我带来了许多的惊喜,全面的防护,灵敏的监控,准确的判断,得当的处理,以及更流畅的用户体验和更良好的资源控制等等,卡巴的优秀表现让人眼前一亮。我们可以看到,卡巴斯基安全部队2012保护十分全面,在解压病毒文件之后能够及时拦截病毒文件并通知用户,即使在双击之后,也有完整的清除 。卡巴给予我们的优秀的用户体验,真实不虚;卡巴展现给我们的不俗的实力,有目共睹。卡巴在反病毒领域上的稳固地位和他先进的防毒理念是密不可分的。但是,金无足赤,卡巴并不是完美的,他仍有一些不足之处有待进一步改进,例如对硬件要求仍比较高,资源占用依旧比较大,让众多老爷机用户望而却步。
总而言之,希望卡巴能够倾听用户的声音,及时修补短板,更上一层楼!

展望:
我希望未来的杀软防御能做到以下三点:
1、在不降低安全性的大前提下,尽量减少系统资源的牺牲,并且做到层层过滤,层层防御,不让无毒文件“蒙冤入狱”  ,更不让病毒文件“瞒天过海”
2、觉察到变化,及时更新防毒理念。
3、以人为本。
chahua745.jpeg

评分

参与人数 1经验 +15 收起 理由
黑羽 + 15

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-1-19 14:21 , Processed in 0.118342 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表