老病毒，手工查杀工具无法发现，求真相~

余乐

yhjtj 发表于 2012-4-1 20:30
http://bbs.kafan.cn/thread-1235618-1-1.html
一个问题，ads数据流病毒

不是ADS流病毒。。。

yhjtj

余乐 发表于 2012-4-1 20:36
不是ADS流病毒。。。

试试gmer吧，也许外国的花开的香

余乐

yhjtj 发表于 2012-4-1 20:38
试试gmer吧，也许外国的花开的香

试了，只能检测到服务，进程里的dll还是不行，真奇怪。。。一个08年的病毒居然把这么多工具给搁倒了。。

FreeEquFraT

余乐 发表于 2012-4-1 20:55
试了，只能检测到服务，进程里的dll还是不行，真奇怪。。。一个08年的病毒居然把这么多工具给搁倒了。。

请教一下，这个怎么运行呢？我试了一下好像没反应，用XT也看不到可疑的进程，好像是没运行起来

余乐

FreeEquFraT 发表于 2012-4-1 21:00
请教一下，这个怎么运行呢？我试了一下好像没反应，用XT也看不到可疑的进程，好像是没运行起来

运行我附件里的批处理，运行后病毒就运行了。。。你可以看看无法显示隐藏文件，另外插U盘也会被感染，至于可疑进程。。。目前我测试过所有主流反黑工具包括XT都无法查到。。。所以放上来大伙玩玩，求一下真相。。。呵呵

病毒本身在系统做的动作不多，只要启动就只有一个文件，但是命名运行了，XT检测不出来。

yhjtj

md的日志在哪里，链接我看看

FreeEquFraT

余乐 发表于 2012-4-1 21:04
运行我附件里的批处理，运行后病毒就运行了。。。你可以看看无法显示隐藏文件，另外插U盘也会被感染，至于 ...

请教一下，XT可以看到服务是点XT的服务那里吗，我怎么没看到什么奇怪的服务啊，不过确实好像隐藏文件显示不出来了

余乐

FreeEquFraT 发表于 2012-4-1 21:18
请教一下，XT可以看到服务是点XT的服务那里吗，我怎么没看到什么奇怪的服务啊，不过确实好像隐藏文件显示 ...

是在服务那里，你看仔细。。。
病毒创建的服务名是随机的，描述是随机抄袭系统服务的。。。

余乐

yhjtj 发表于 2012-4-1 21:05
md的日志在哪里，链接我看看

没装hips。。。裸机。。。

yhjtj

参考下rundll里有，svchost报的是注入远程线程


md和ssf双开日志
md的
2012-4-1 21:09:23    创建新进程    允许
进程: c:\windows.0\explorer.exe
目标: c:\windows.0\system32\cmd.exe
命令行: cmd /c ""C:\Documents and Settings\Administrator.CHINA-3D80B4853\桌面\运行病毒.BAT" "
规则: [应用程序]c:\windows.0\explorer.exe -> [子应用程序]『禁运』黑名单

2012-4-1 21:09:49    创建新进程    允许
进程: c:\windows.0\system32\cmd.exe
目标: c:\windows.0\system32\rundll32.exe
命令行: rundll32.exe xcxozy.dll, ydmmgvos
规则: [应用程序组]『询问』病毒测试

2012-4-1 21:09:54    底层键盘操作    阻止
进程: c:\windows.0\system32\rundll32.exe
规则: [应用程序组]｛特权｝系统程序

2012-4-1 21:13:13    修改其他进程的内存    阻止
进程: c:\windows.0\system32\rundll32.exe
目标: c:\windows.0\system32\svchost.exe
规则: [应用程序]* -> [目标应用程序]进程保护

2012-4-1 21:13:13    修改其他进程的内存    阻止
进程: c:\windows.0\system32\rundll32.exe
目标: c:\windows.0\explorer.exe
规则: [应用程序]* -> [目标应用程序]进程保护

2012-4-1 21:13:13    修改注册表值    阻止
进程: c:\windows.0\system32\rundll32.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
值: 0x00000000(0)
规则: [注册表组]资源管理器 -> [注册表]*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden*

2012-4-1 21:13:13    修改注册表值    阻止
进程: c:\windows.0\system32\rundll32.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
值: 0x00000002(2)
规则: [注册表组]资源管理器 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced*; *Hidden*

2012-4-1 21:13:13    修改注册表值    阻止
进程: c:\windows.0\system32\rundll32.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\SuperHidden
值: 0x00000000(0)
规则: [注册表组]资源管理器 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced*; *Hidden*

2012-4-1 21:13:22    创建新进程    允许
进程: c:\windows.0\system32\rundll32.exe
目标: c:\windows.0\explorer.exe
命令行: explorer C:\Documents and Settings
规则: [应用程序]*

单开ssf的
2012-4-1 21:09:23,C:\WINDOWS.0\explorer.exe,53,Allowed ;Execution of an application (C:\WINDOWS.0\system32\cmd.exe)
2012-4-1 21:09:53,C:\WINDOWS.0\system32\cmd.exe,53,Allowed ;Execution of an application (C:\WINDOWS.0\system32\rundll32.exe)
2012-4-1 21:13:13,C:\WINDOWS.0\system32\rundll32.exe,40,Allowed ;打开其它进程并获取修改权限 (svchost.exe(pid=1064))
2012-4-1 21:14:27,C:\WINDOWS.0\system32\rundll32.exe,53,Allowed ;Execution of an application (C:\WINDOWS.0\explorer.exe)
2012-4-1 21:20:05,C:\WINDOWS.0\explorer.exe,53,Allowed ;Execution of an application (C:\WINDOWS.0\system32\taskmgr.exe)
2012-4-1 21:20:15,C:\WINDOWS.0\explorer.exe,53,Allowed ;Execution of an application (C:\WINDOWS.0\system32\cmd.exe)
2012-4-1 21:20:18,C:\WINDOWS.0\system32\cmd.exe,53,Allowed ;Execution of an application (C:\WINDOWS.0\system32\rundll32.exe)
2012-4-1 21:20:25,C:\WINDOWS.0\system32\rundll32.exe,40,Allowed ;打开其它进程并获取修改权限 (svchost.exe(pid=1064))
2012-4-1 21:20:28,C:\WINDOWS.0\system32\rundll32.exe,29,Allowed ;访问其它进程内存 (svchost.exe(pid=1064))
2012-4-1 21:20:32,C:\WINDOWS.0\system32\rundll32.exe,29,Allowed ;访问其它进程内存 (svchost.exe(pid=1064))
2012-4-1 21:20:34,C:\WINDOWS.0\system32\rundll32.exe,29,Allowed ;访问其它进程内存 (svchost.exe(pid=1064))
2012-4-1 21:20:38,C:\WINDOWS.0\system32\rundll32.exe,30,Allowed ;在其它进程中注入远线程 (svchost.exe(pid=1064))
2012-4-1 21:21:24,C:\Program Files\Malware Defender\MalwareDefender.exe,29,Allowed ;访问其它进程内存 (svchost.exe(pid=1064))
2012-4-1 21:23:00,C:\Program Files\Malware Defender\MalwareDefender.exe,53,Allowed ;Execution of an application (C:\WINDOWS.0\explorer.exe)
2012-4-1 21:23:16,C:\WINDOWS.0\system32\rundll32.exe,53,Allowed ;Execution of an application (C:\WINDOWS.0\explorer.exe)