【结束】病毒要越狱？呼叫安全部队

huangdan811

联系邮箱：120879078@vip.qq.com

样本名称：izle.exe
MD5值:1B528CF64850D51DA6E43DBEF375D233
操作系统：Windows7旗舰版SP1
卡巴斯基版本：卡巴斯基安全部队12.0.0.374(a,b)
威胁名称：Microsoft Windows Search Protocol Host 正在试图访问恶意软件;木马程序  Trojan-Downloader.Win32.VB.akki

西门思星

这么给力的活动一定要参与
yunfan@vip.qq.com

基础任务：
样本名称：46rBGHYe45y7YHGc.7z   
MD5值：773124e9c2fb03bba11b7e077d6dae5d     
操作系统：WIN7 U版本 SP1  
卡巴斯基版本：卡巴斯基安全部队2012   12.0.0.374（a.b）   
威胁名称：  木马程序  Backdoor.Win32.MimimiBot.l   
提示截图：

点击解压后提示有威胁

威胁处理完成后的报告

扩展任务:
样本名称：46rBGHYe45y7YHGc.7z   
MD5值：773124e9c2fb03bba11b7e077d6dae5d     
操作系统：WIN7 U版本 SP1  
卡巴斯基版本：卡巴斯基安全部队2012   12.0.0.374（a.b.c）   
威胁名称：  木马程序  Backdoor.Win32.MimimiBot.l
   
有点懒，没做虚拟机，直接在卡巴安全桌面里面做的


图一：放在桌面下，卡巴扫描了下，正常
随后我关闭了卡巴的主动防御（下图），就当是对卡巴本地病毒库的测试



卡巴提示发现木马程序，看来很早就入库了（PS~废话~~~）

为了进一步了解样本，我们关闭了卡巴的保护，然后对样本解压


一眼看上去是图片类文档，我们来打开后缀名看看

呵~~后缀EXE，一般都是伪装成图片的木马等恶意程序，


想试着运行下，被阻止了。有想用HIPS分析下程序运行的


退出安全桌面的时候，卡巴报毒，（应该我将样本放在卡巴共享文件夹的原因）


小总结下：
上班的时候做的测试，写的比较乱
从卡巴来看在样本解压写入的时候就可以起到很好的防护作用
交互式保护的人机交流也做的不错，没有过多的提示。
从样本上来说是典型的伪装成图片的恶意程序。很容易被人以为图片打开，造成损失。这也提醒我们要打开文件后缀名显示（卡巴系统优化里面有提示，值得肯定!），防患于未然.
时间问题没有测试卡巴的HIPS，遗憾

对卡巴的小的期许：安全桌面做的不错，一个小问题，我希望在安全桌面里关闭卡巴保护的时候，不要引起外面的卡巴保护关闭。

飘落的泪

邮箱：465566876@qq.com
-------------------------------------------------------------基础任务-----------------------------------------------------------------

样本名称：46rBGHYe45y7YHGc         MD5值：35f48fcbed8c26542d79e00d92fd48b7
操作系统：windows 7 SP1 旗舰版    卡巴斯基版本：12.0.0.374 （英文版）
威胁名称：Backdoor.Win32.MimimiBot.l       
提示截图：


-------------------------------------------------------------扩展任务------------------------------------------------------------------

小潴潴小

124418996@qq.com

来砰砰运气


样本名称：ctfmon   MD5值：796A2C82E9A301134488A8497F2E34E8     操作系统： xp sp3   卡巴斯基版本：kis2012   威胁名称：trojan.win32.generic    trojan-downloader.win32.agent.gxob    提示截图：

上多一张图

因为有病毒qq不好截图，只截到一张，还有就是解压时和解压后卡巴都不会报，只有进到文件里才报，不知是不是我哪里没调好，就只能做到这里了，如有不当请通知

Ack麦子

cy16@qq.com

卡巴斯基安全部队作战报告

——Kaspersky Internet Security operations plan

开始时间：2011年8月5日 14:59:54

任务目标：逮捕_tabtoolbarup 并分析其行为搜集犯罪证据

第一阶段（仅解压）

样本名称：_tabtoolbarup.exe

MD5值：6F42DADEA10730168688312FF35637DB

操作系统：Windows XP SP3

卡巴斯基版本：卡巴斯基反病毒软件 2012

威胁名称：Virus.Win32.Induc.a

提示截图：

解压提示一

解压提示一

解压提示二

解压提示二

清除成功

清除成功

第二阶段

样本名称：_tabtoolbarup.exe

MD5值：6F42DADEA10730168688312FF35637DB

操作系统：Windows XP SP3

卡巴斯基版本：卡巴斯基反病毒软件 2012

威胁名称：Virus.Win32.Induc.a

提示截图：

运行提示一

运行提示一

运行提示二

运行提示二

运行提示三

运行提示三

清除成功

清除成功

行为分析：
注册表

1. Open Keys...
   
2. Key: HKEY_CURRENT_USER\Software\Borland\Locales
   
3. Key: HKEY_CURRENT_USER\Software\Borland\Delphi\Locales
   
4. Key: HKEY_LOCAL_MACHINE\Software\Borland\Delphi\4.0
   
5. Key: HKEY_LOCAL_MACHINE\Software\Borland\Delphi\5.0
   
6. Key: HKEY_LOCAL_MACHINE\Software\Borland\Delphi\6.0
   
7. Key: HKEY_LOCAL_MACHINE\Software\Borland\Delphi\7.0
   
8. Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CTF\Compatibility\12080364.exe
   
9. Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CTF\SystemShared
   
10. Key: HKEY_CURRENT_USER\Keyboard Layout\Toggle
    
11. Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CTF
    
12. Key: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\IMM
    
13. Key: HKEY_CURRENT_USER\SOFTWARE\Microsoft\CTF
    
14. Key: HKEY_LOCAL_MACHINE\Software\Microsoft\CTF\SystemShared
    
15. Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    
16. Query Value...
    
17. Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CTF\SystemShared
    
18. Value: CUAS
    
19. Quantity: 2
    
20. Key: HKEY_CURRENT_USER\Keyboard Layout\Toggle
    
21. Value: Language Hotkey
    
22. Key: HKEY_CURRENT_USER\Keyboard Layout\Toggle
    
23. Value: Hotkey
    
24. Key: HKEY_CURRENT_USER\Keyboard Layout\Toggle
    
25. Value: Layout Hotkey
    
26. Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\CTF
    
27. Value: EnableAnchorContext
    
28. Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\IMM
    
29. Value: Ime File
    
30. Key: HKEY_CURRENT_USER\Software\Microsoft\CTF
    
31. Value: Disable Thread Input Manager
    
32. Key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
    
33. Value: ProgramFilesDir
    

复制代码

文件修改及创建

文件修改及创建

1. tabtoolbarn_setup.exe
   
2. _tabtoolbarup.exe
   
3. tabtoolbarch.exe
   
4. up\bdomain.dt
   
5. up\bkeywords.dt
   
6. up\cadoc.dt
   
7. up\categorydb.dt
   
8. up\filterdword.dtup\outsite.dtup\outsitest.dtup\spkeyword.dt
   
9. up\mainsite.dt
   
10. up\querysearch.dt
    
11. up\searchsite.dt
    
12. up\sponser.dt
    
13. up\tabdomain.dt
    
14. up\tabtoolbar.dll
    
15. up\tabtoolbarapp.exe
    
16. up\tabtoolbardel.exe
    
17. up\tabtoolbarninstall.exe
    
18. up\tabtoolbarup.exe
    
19. up\ver.dat
    
20. up\webhkey.dt
    
21. version.dat
复制代码

访问网络下载如下文件

• http://dn.tabbrowser.co.kr/nc_tab/setup/nctablist.dt
• http://dn.tabbrowser.co.kr/nc_tab/setup/tabtoolbarn_setup.exe
• http://down.tabbrowser.co.kr/tabtoolbar/program/bdomain.dt
• http://down.tabbrowser.co.kr/tabtoolbar/program/mainsite.dt
• http://down.tabbrowser.co.kr/tabtoolbar/program/filterdword.dt
• http://down.tabbrowser.co.kr/tabtoolbar/program/categorydb.dt
• http://down.tabbrowser.co.kr/tabtoolbar/program/bkeywords.dt
• http://down.tabbrowser.co.kr/tabtoolbar/program/webhkey.dt
• http://down.tabbrowser.co.kr/tabtoolbar/program/outsitest.dt
• http://down.tabbrowser.co.kr/tabtoolbar/program/tabdomain.dt
• http://down.tabbrowser.co.kr/tabtoolbar/program/cadoc.dt
• http://down.tabbrowser.co.kr/tabtoolbar/program/querysearch.dt
• http://down.tabbrowser.co.kr/tabtoolbar/program/spkeyword.dt
• http://down.tabbrowser.co.kr/tabtoolbar/program/tabtoolbarup.exe
• http://down.tabbrowser.co.kr/tabtoolbar/program/tabtoolbarninstall.exe
• http://down.tabbrowser.co.kr/tabtoolbar/program/tabtoolbardel.exe
• http://down.tabbrowser.co.kr/tabtoolbar/program/tabtoolbarch.exe
• http://down.tabbrowser.co.kr/tabtoolbar/program/tabtoolbarapp.exe
• http://down.tabbrowser.co.kr/tabtoolbar/program/tabtoolbar.dll
• http://down.tabbrowser.co.kr/tabtoolbar/program/sponser.dt
• http://down.tabbrowser.co.kr/tabtoolbar/program/searchsite.dt
• http://down.tabbrowser.co.kr/tabtoolbar/program/outsite.dt
  

感受展望：
  接触电脑之后第一个使用的杀毒软件就是KAV。每当拦截到威胁，警报声响起，卡巴斯基就又一次的保护了我的电脑。后来断断续续的换过国内外很多杀毒软件，但是一直找不到卡巴斯基那种专业杀软的感觉，尽管卡巴斯基经常把我的计算机卡到死机 。用卡巴就是省心，安心，放心。
  作为初级用户，我需要的是简单的可以保证计算机正常运行的安全软件，不需要任何华丽的功能，更不需要过于复杂的操作。我希望以后的卡巴斯基可以不会把我的低配电脑卡到死机，界面可以一如既往的简洁，并且价格可以降低一点。想让马儿跑，又让马儿不吃草，这可能是很多用户的希望。

胜利十一人

基础任务：
样本名称：46rBGHYe45y7YHGc.exe
MD5值：35f48fcbed8c26542d79e00d92fd48b7
操作系统：windows XP SP3
卡巴斯基版本：KIS12.0.0.374(a.b.c)
威胁名称：Backdoor.Win32.MimimiBot.l
提示截图：




拓展任务：
样本名称：46rBGHYe45y7YHGc.exe
MD5值：35f48fcbed8c26542d79e00d92fd48b7
操作系统：windows XP SP3
卡巴斯基版本：KIS12.0.0.374
威胁名称：无
提示截图：    

行为分析： 安装钩子，其他行为未发现
感受展望：虚拟机双击运行时，用的是旧病毒库。文件反病毒组件未报毒，hips将其自动分到低限制组。此时，安全软件对未知威胁的防御就显得很重要，很关键。我感觉有两个发展方向：一是云，二是hips。

lehsoul

基础任务、拓展任务测试结果：


基础任务中，刚解压病毒样本完卡巴报警，并以醒目的红色框框提示：

自动清除威胁后，框框变为绿色，表示威胁已清除。




而在拓展任务中的运行病毒样本中，刚刚点击运行样本则提示无法找到文件。





拓展任务之行为分析：
行为分析：
可以看出运行病毒样本后，卡巴提示EXPLORER.EXE要访问病毒样本文件并做出了拦截。
有些病毒会将DLL文件插入系统的进程譬如EXPLORER.EXE。以插入系统进程来实现保护自己的目的。


感受展望：
之前用过半年的KIS2011，而在换新电脑以后，感觉想让电脑走轻巧路线而暂时换掉了KIS。
这次通过在虚拟机内对KIS2012的使用明显可以感觉到KIS2012无论是UI设计还是对系统资源的占用明显又有了一个很大的提高，稍显不足的是对开机速度影响似乎比其他软件要稍大，但损失数秒时间换来全方位的保护还是值得的。

同时对于KIS2012最让我感觉惊喜的是加入了大势所趋的云功能。而卡巴之前的本地病毒库更新之迅速也是业内有名的。靠着云加本地完善的病毒库以及强大的主防保证了安全性。
而实用的安全键盘、安全浏览器以及系统优化等功能也各方面提高了用户使用电脑时受到攻击和损失的可能性。

通过这次对KIS2012的使用和评测明显可以感觉到系统的各方面都给严严实实的保护了起来，希望卡巴能继续坚持走自己的风格，严谨的做好自己的产品，支持卡巴！

试卷是坟墓

样本名称 tabtoolbarup
MD5值 10B3E261B2FFF82693BEF710AA543372
卡巴斯基版本 卡巴斯基安全部队2012
威胁名称 virus win32 induc.a

蝉鸣时

样本名称：90.exe

MD5值：183B40D06C2111B1144E446121B6845F

操作系统：Windows 7

卡巴斯基版本：Kaspersky Internet Security 2012

威胁名称：Trojan-Dropper.Win32.Dapato.gbd

提示截图：

PSW

样本名称：_tabtoolbarup     MD5值 ：10b3e261b2fff82693bef710aa543372    操作系统 ：windows732位SP1家庭高级版      卡巴斯基版本:KIS2012     威胁名称 :Virus.Win32.Induc.a      提示截图: