【结束】病毒要越狱？呼叫安全部队

62590423

基础任务
样本名称： ok.exe
MD5值：F504B9C41BA8649C00F6784B25291938
操作系统：win7家庭高级版
卡巴斯基版本：12.0.0.374(a,b)
威胁名称：Trojan-PSW.Win32.Bjlog.zax
提示截图（解压好后不报，右键扫描才报）：       

拓展任务

样本名称： ok.exe
MD5值：F504B9C41BA8649C00F6784B25291938
操作系统：win7家庭高级版
卡巴斯基版本：12.0.0.374(a,b)
行为/

1.自动模式,右键-安全运行
由于此自解压文件中有一个文件被杀 无法运行
----》关闭防护组件,留下 ，运行，仍旧被阻止运行...放弃
2.手动模式，仍旧被阻止

3.放出该自解压文件，手动模式下运行
-9001.exe
不知为何,无法运行，退出卡巴后也是无法运行
-9002.exe
同-9001.exe
下面2个文件也是一样的情况


展望：总体来说,卡巴已经变的智能了,个人感觉卡巴一个版本比一个版本流畅,有望改变卡吧死机的诟病。
希望卡巴的hips能更智能,如TF
ps.我实机运行了下 ，同时发现所有exe都被锁住了。。

orz了,在次只能大致推测下病毒行为
双击ok.exe后运行2.vbs

CreateObject("WScript.Shell").Run "cmd /c 1.bat",0

创建脚本 运行1.bat

call 9001.exe
call 9002.exe
call 9003.exe
call 9004.exe

,运行call 9001.exe
call 9002.exe
call 9003.exe
call 9004.exe
而且从卡巴的命名来看

Trojan-PSW.Win32.Bjlog.zax

,这4个文件属同一病毒,并带有密码窃取的行为PSW.


特囧，第一次参加这种活动，菜鸟也比较希望得点东西的


还有，字体在win7下不好看

浮生半日闲

747179406@qq.com

样本名称：picture.jpg

MD5值：  2f1f835d7b7f7e448edc23163092fcb6

操作系统：Windows7 SP1 64位 旗舰版

卡巴斯基版本：KIS 2012 <12.0.0.374(a.b)>

威胁名称：Net-Worm.Win32.Kolabc.jjw

                Backdoor.Win32.Hupigon.nrjh

                not-a-virus:Monitor.Win32.Perflogger.afc

提示截图：

xifanwoai

981248@qq.com
扩展任务的几个图。

样本名字 tr.exe  MD5:FE740FC464DAABAAAF0E8063F2E34180  

系统版本 WIN7 32 SP1  威胁名称 : Trojan-Spy.Win32.Zbot.ajfp  

卡巴斯基版本: 2012.0.0.374(patch:a.b)

双击卡巴提示截图:  


行为分析:  因为没有虚拟机 直接用OD来动态分析了。这样不算违规吧?,   
而且稍微看了下样本发现 这种恶作剧样本我真不知道怎么来行为分析。详情看下面的解释和图解。

rt,该样本为恶作剧的关机。该样本 运行 便使用 OpenProcessToken、LookupPrivilegevalueA、AdjustTokenPrivileges 来提权。
提权完毕就调用 ExitWindowsEx 第一个参数我解释下: 就是让系统重启 并且不保存数据。 也就是不会发送WM_QUERYENDSESSION and WM_ENDSESSION 这2个消息
看图就知道了

感受展望：希望kis2012的自动模式 对于这种恶作剧调用 ExitWindowsEx函数关机的小软件,在自动模式下可以弹出个提示框说明这个软件要获取关机的权限.

这样就可以避免这样的恶作剧关机了。 因为已经进了样本库了,所以双击直接就自动删除了..但是没入库的这种恶作剧,就是个悲剧。

aa32222

315069968@qq.com
样本名称：  PTU1003.exe
MD5值：     ‎68 d3 a7 b1 e9 14 d8 85 50 9c 16 51 fe 20 08 d0
操作系统：    windows 7  32bit
卡巴斯基版本：   kis 2012 12.0.0.374(a,b)
威胁名称：     未检测出
提示截图：

上报成功图

z2665

样本名称：pusk
MD5值：3E6A6441F08277F0138E2D1EB970C694
操作系统：  windows xp sp3  
卡巴斯基版本： 卡巴安全部队2012(12.0.0.374)
威胁名称：Trojan.Win32.Jorik.Fraud.afl     
提示截图：   

lian761268

先顶一下,是不是留下邮箱就可以了,这个我得参加,我的邮箱是:zmlwd@yahoo.com.cn
样本名称：putty.7z  
MD5值：c3e66296982c4c5d908d9e0e82f541ee     
操作系统： windows7旗舰版   
卡巴斯基版本：卡巴斯基2012   
威胁名称： Trojan.Win32.Jorik.IRCbot.xs木马程序   
提示截图：




拓展任务:
样本名称：putty.7z  
MD5值：c3e66296982c4c5d908d9e0e82f541ee     
操作系统： windows7旗舰版   
卡巴斯基版本：卡巴斯基2012   
威胁名称： Trojan.Win32.Jorik.IRCbot.xs木马程序


在安全部队默认设置下,双击运行样本,不到一秒,发现有危险进程,马上进行拦阻,速度之快,令人不得不感叹其反应速度之快



经过快速反应后发现此进程为Trojan.Win32.Jorik.IRCbot.xs木马程序,



及刻进行删除并进行了备份,以便系统有问题时可以及时恢复,不像有的杀软,发现了病毒删除了事,以至因为杀软乱杀乱删导致系统瘫痪的情况时有发生,所以现在2012这点还是比软人性化的,这个应该算是一个亮点吧



这个是分类监测报告,分类非常详细,让你知道你的系统都受到过哪些种类危险程序的威胁,



此为病毒报告,非常详细的记录了,安全部队处理的一些危险程序,非常详实,系统受到过什么威胁,安全部队怎么处理的,什么时间处理的,让人一目了然
综上所述,通过系统反映来看,2012跟2011比起来，占用系统资源明显减少了，看来卡巴要从良了,另外卡巴斯基及时更新数据库应该是对杀毒能力的一个最有力的支持，还有是不是有“云”和“本地”的复合式防御，比单独使用传统的病毒特征库查杀恶意软件数量要高，能够为用户的信息财产安全带来更可信赖的双重保护,这个也未曾可知,不过全新的卡巴斯基安全部队2012更加友好、直观的用户界面，以及“云计算”为主的前沿技术,也充分提现出卡巴斯基雄厚而强大的实力
对比现在国内的一些(特别是一些打着免费旗号只口水不踏实做技术,不思进取的)杀软,根本没法比,所以为了大家网上安全,安全部队千万别学这些,别沦到这个地步,那可真的就玩完了,因为不论什么事情,迟早会有真相大白的那一天,相信安全部队会在未来的道路上越走越自信,超走越辉煌

hzz2009

chnchild@vip.qq.com


基础任务

样本名称：         VIDCH000301.exe
MD5值：            de3c6c55804be99e8de00acc82ef38c0
操作系统：         Microsoft(R) Windows XP SP3
卡巴斯基版本：  12.0.0.374(a.b)
威胁名称：         Trojan-Clicker.Win32.VB.gus      
提示截图：
                       
                       


拓展任务

样本名称：         VIDCH000301.exe
MD5值：            de3c6c55804be99e8de00acc82ef38c0
操作系统：         Microsoft(R) Windows XP SP3
卡巴斯基版本：  12.0.0.374(a.b)
威胁名称：         Trojan-Clicker.Win32.VB.gus   
提示截图：        不知道老大的意思是要测什么，在文件反病毒关闭的情况下
                       主防+系统监控：                   不报
                       应用程序控制可以防住：         
                                                                 P.S. 估计是这个毒太老，直接就丢进了不信任                                                   
行为分析：        
注：报告来自金山沙箱，部分无关行为省略

1. 加载库文件F:\WINDOWS\system32\msvbvm60.dll F:\WINDOWS\system32\msvbvm60.dll
   
2. 加载库文件F:\WINDOWS\system32\msvbvm60.dll F:\WINDOWS\system32\msvbvm60.dll
   
3. 加载库文件F:\WINDOWS\system32\imm32.dll F:\WINDOWS\system32\imm32.dll
   
4. 加载库文件F:\WINDOWS\system32\VB6CHS.DLL F:\WINDOWS\system32\VB6CHS.DLL
   
5. 加载库文件F:\WINDOWS\system32\uxtheme.dll F:\WINDOWS\system32\uxtheme.dll
   
6. 加载库文件F:\WINDOWS\system32\msvcp60.dll F:\WINDOWS\system32\msvcp60.dll
   
7. 加载库文件                                                             F:\WINDOWS\WinSxS\x86_Microsoft.Windows.CommonControls_6595b64144ccf1df_6.0.2600.6028_x- ww_61e65202\comctl32.dll F:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-  Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll
   
8. 加载库文件G:\program files\kingsoft\kingsoft antivirus\kwsui.dll G:\program files\kingsoft\kingsoft antivirus\kwsui.dll
   
9. 加载库文件G:\program files\kingsoft\kingsoft antivirus\kswebshield.dll G:\program files\kingsoft\kingsoft antivirus\kswebshield.dll
   
10. 创建注册表键值HKEY_USERS\S-1-5-21-854245398-1844823847-1417001333-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings HKEY_USERS\S-1-5-21-854245398-1844823847-1417001333-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings
    
11. 加载库文件F:\WINDOWS\system32\MSCTF.dll F:\WINDOWS\system32\MSCTF.dll
    
12. 加载库文件F:\WINDOWS\system32\sxs.dll F:\WINDOWS\system32\sxs.dll
    
13. 加载库文件F:\WINDOWS\system32\MSCTFIME.IME F:\WINDOWS\system32\MSCTFIME.IME
    
14. 创建文件F:\windows\?ystem32?drivers?etc\hos?s F:\windows\?ystem32?drivers?etc\hoss
    
15. 发送消息G:\Program Files\Kingsoft\kingsoft antivirus\ksandbox.exe G:\Program Files\Kingsoft\kingsoft antivirus\ksandbox.exe
    
16. 发送消息F:\WINDOWS\explorer.exe F:\WINDOWS\explorer.exe
    
17. 发送消息F:\WINDOWS\system32\ctfmon.exe F:\WINDOWS\system32\ctfmon.exe
    

复制代码

其中 10 14 为关键行为
感受展望：
卡巴的理念一向是业界领先的（如果要搞全面的技术优[code]加载库文件F势，自然就是发展像微点一样的防御模式）。
而现在又加入了云（ksn），更是如虎添翼。
但是，现在的云安全不是和其他的云服务一样的概念，云服务是将所有的程序文件，硬件资源都放在服务器上（不占用客户端的CPU）。因为杀毒软件要传的东西太多，服务器的负荷将是不可承受之重。在windows上现在看起来HIPS像是最安全的，但以我之见，今后操作系统的原理将发生较大改变。
所以，极端假设一个在所有平台上都一流的杀毒软件，TA必然有一种独立于系统的运行方式[这只是我的一个宏观设想，具体的实现方法却一点设想也没有（菜鸟）]。就比如一个司法部门的运行必然是独立的一样。

lesserbear

fqlv.xd@qq.com

基础任务
样本名称：rejected_wire.pdf.exe  
MD5值：1ac94eb9e42f44068937273976971abb  rejected_wire.pdf.exe     
操作系统： XP SP3   
卡巴斯基版本： 卡巴斯基安全部队2012
威胁名称：    无
提示截图：

基础任务

拓展任务
样本名称：rejected_wire.pdf.exe  
MD5值：1ac94eb9e42f44068937273976971abb  rejected_wire.pdf.exe     
操作系统： XP SP3   
卡巴斯基版本： 卡巴斯基安全部队2012
威胁名称：    无
提示截图：

拓展任务

行文分析：运行后，卡巴没反应。
感受展望：感觉卡巴2012对这个不感冒啊，让人很是担心啊。

33419

583139995@qq.com       样本名称：Remote_v1_2   压缩包MD5值：DB18720870E23ED8AAD131AD81497F79     操作系统： XP SP3   卡巴斯基版本：卡巴斯基安全部队2012   威胁名称：无威胁     右键扫描截图：
上报成功截图：
拓展任务：样本名称：Remote_v1_2   解压后MD5值：F9E66CFB87AC30B3B0A310B0F5DEB12E     操作系统：XP SP3    卡巴斯基版本：卡巴斯基安全部队2012   威胁名称：无威胁    右键扫描截图：   

双击也没有任何提示，看来我也没有什么好说的了，不会本来就是安全的文件吧！另外给我发了一个样本，竟然没有解压密码！

385872808

385872808@163.com

样本名称：RemoveWGA.exe
MD5：3B6A1F6AD4B8141B1AED8644D789706F
SHA1: 8DA3BF220F6853D9B742706DCE4EF39212E39243
CRC32: 3F448DBC
操作系统：WIN7 SP1 64bit
卡巴斯基版本：卡巴斯基PURE 9.1.0.124(b)
威胁名称、提示截图：
点击下载时：

解压后卡巴无反应
上传成功页面：