Trojan.Generic.KDV.613860

显示全部楼层 · 发表于 2012-5-3 16:44:11

行为描述：启动宿主进程，注入代码，修改EIP执行自己的代码，偷梁换柱，使用户认为是正常的进程

附加信息：
sample.v

行为描述：疑似查找游戏进程

附加信息：
STEAM.EXE [steam]

行为描述：添加Windows防火墙例外，防止访问网络时被防火墙拦截

附加信息：
%SampleStore%\sample.exe >> %SampleStore%\sample.exe:*:Enabled:Windows Messanger

行为描述：创建互斥体

附加信息：
NULL

行为描述：查找文件

附加信息：
"%system%\ADVAPI32.dll"

"%system%\REG.*"

"%system%\kernel32.dll"

"%system%\ntdll.dll"

"%system%\reg.COM"

"%system%\reg.EXE"

"%temp%\"

"%SampleStore%\REG"

"%SampleStore%\REG.*"

"%SampleStore%\sample.v"

行为描述：设置文件属性

附加信息：
"%temp%\" >> HIDE

"%SampleStore%\sample.exe" >> HIDE

行为描述：提升权限

附加信息：
"SeBackupPrivilege"

"SeDebugPrivilege"

"SeRestorePrivilege"

"SeShutdownPrivilege"

创建进程：%SampleStore%\sample.v

启动参数：无

创建进程：无

启动参数：cmd /c REG ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPoli...

创建进程：无

启动参数：cmd /c REG ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPoli...

创建进程：%system%\reg.exe

启动参数：REG ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\Stan...

创建进程：%system%\reg.exe

启动参数：REG ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\Stan...

创建进程：%system%\reg.exe

启动参数：REG ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\Stan...

创建进程：无

启动参数：cmd /c REG ADD HKLM\System\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPoli...

HKEY_CURRENT_USER\Software\Microsoft\Visual Basic

HKEY_CURRENT_USER\Software\Microsoft\Visual Basic\6.0

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProf...
[DoNotAllowExceptions] = [0x00000000]

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\FirewallPolicy\StandardProf...
[%SampleStore%\sample.exe] = [%SampleStore%\sample.exe:*:Enabled:Windows Messanger]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\Standard...
[DoNotAllowExceptions] = [0x00000000]

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\Standard...
[%SampleStore%\sample.exe] = [%SampleStore%\sample.exe:*:Enabled:Windows Messanger]

网络操作
【连接主机】0.0.0.0:1

显示全部楼层 · 发表于 2012-5-3 16:48:58

File ID    Filename    Size (Byte) Result
26868514    1.zip 199.95 KB OK
A listing of files contained inside archives alongside their results can be found below:
File ID    Filename    Size (Byte) Result
26868515    1.exe    296 KB    UNDER ANALYSIS

显示全部楼层 · 发表于 2012-5-3 16:54:17

数字卫士杀了

显示全部楼层 · 发表于 2012-5-3 16:56:36

大蜘蛛miss，上报蜘蛛！

显示全部楼层 · 发表于 2012-5-3 18:15:45

卡巴斯基安全部队
2012
拒绝访问
无法访问该网页

请求对象位于网址：

http://bbs.kafan.cn/forum.php?mod=
attachment&aid=MTYyOTgwNXwyZDI4OWI2YnwxM
zM2MDQwMTEzfDQ5MDQzOHwxMjgwNjk0

检测到威胁：

对象已感染病毒Trojan.Win32.Jorik.Androm.ci
发生时间： 18:15:24

显示全部楼层 · 发表于 2012-5-3 18:16:45

STOP! Bitdefender blocked this web page.
The page you are trying to access contains malware.

Details:
Web Page: http://bbs.kafan.cn/forum.php?mo ... ;aid=MTYyOTgwNXw...
Detected viruses: Trojan.Generic.KDV.613860

显示全部楼层 · 发表于 2012-5-3 18:17:36

本帖最后由 humanlwj52 于 2012-5-3 18:23 编辑

ESET killed.

1.zip > ZIP > 1.exe - Win32/Injector.QUL 特洛伊木马的变种

IDP killed.
To AVG.

显示全部楼层 · 发表于 2012-5-3 18:19:46

本帖最后由 zmzcy 于 2012-5-3 20:04 编辑

虚拟机坏了，实机测得。。。还好sonar拦住了

Norton kill

完整路径: 不可用
____________________________
____________________________
在电脑上的创建时间 2012/5/3 ( 19:57:35 )
上次使用时间 2012/5/3 ( 19:57:35 )
启动项目否
已启动是
____________________________
____________________________
极少用户信任的文件
诺顿社区中有不到 5 名用户使用了此文件。
____________________________
极新的文件
该文件已在不到 1 周前发行。
____________________________
高
此文件具有高风险。
____________________________
威胁详细信息
SONAR 主动防护监视电脑上的可疑程序活动。
____________________________

源文件:
winrar.exe

创建的文件:
winrar.exe

创建的文件:
1.exe
____________________________
文件操作
受感染文件: c:\users\zmzcy\desktop\1.exe
已删除
____________________________
网络操作
事件: 网络活动 (执行者 c:\users\zmzcy\desktop\1.exe, PID:4232)
未采取操作
____________________________
系统设置操作
事件: 进程启动 (执行者 c:\users\zmzcy\desktop\1.exe, PID:5172)
未采取操作
____________________________
文件指纹 - SHA:
5d39fe98ac048236e2fecea0c98b8e312cba342e3b7331180e3c510de2a4a57f
____________________________
文件指纹 - MD5:
1d931fe0fa4049ed35df61636d349762
____________________________

显示全部楼层 · 发表于 2012-5-3 18:41:41

360

显示全部楼层 · 发表于 2012-5-3 19:49:06

Full Path: C:\Users\Shane Wang\Desktop\1\1.exe
____________________________
____________________________
Developers Not Available
Version 1.6.0.7
Identified 03/05/2012 at 19:48:41
Last Used Not Available
Startup Item No
____________________________
____________________________
Unknown
This program crash history is not known.
____________________________
Very Few Users
Fewer than 5 users in the Norton Community have used this file.
____________________________
Very New
This file was released less than 1 week ago.
____________________________
Poor
There are some indications that this file is untrustworthy.
____________________________
Source File:
winrar.exe

File Created:
1.exe
____________________________
File Thumbprint - SHA:
5d39fe98ac048236e2fecea0c98b8e312cba342e3b7331180e3c510de2a4a57f
____________________________
File Thumbprint - MD5:
1d931fe0fa4049ed35df61636d349762
____________________________

[病毒样本] Trojan.Generic.KDV.613860

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块