收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 高质量,多引擎只有5家报,附救援区链接
1 ...34567891011下一页
返回列表 发新帖
楼主: zhou0197
 收起左侧

[可疑文件] 高质量,多引擎只有5家报,附救援区链接

  [复制链接]
zhou0197
 楼主| 发表于 2012-6-6 22:54:03 | 显示全部楼层
XywCloud 发表于 2012-6-6 20:42
好吧……
我现在也是手机上……

重大发现!

在写入了LZ提供的api.txt,那个ini文件,以及刚才提供的MSinfo文件夹之后,运行3525.exe(就是那个样本,修改名字),成功跑出行为!


2012-6-6 20:49:32    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\program files\common files\microsoft shared\3525\3525\3525.exe
命令行: "C:\Program Files\Common Files\Microsoft Shared\3525\3525\3525.exe"
规则: [应用程序]*

2012-6-6 20:49:33    创建注册表项    允许
进程: c:\program files\common files\microsoft shared\3525\3525\3525.exe
目标: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{10030850-A707-22d2-9CBD-0000F87A469H}
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\*

2012-6-6 20:49:33    创建新进程    允许
进程: c:\program files\common files\microsoft shared\3525\3525\3525.exe
目标: c:\windows\system32\svchost.exe
命令行: svchost.exe
规则: [应用程序]*

2012-6-6 20:49:33    修改其他进程的内存    允许
进程: c:\program files\common files\microsoft shared\3525\3525\3525.exe
目标: c:\windows\system32\svchost.exe
规则: [应用程序]*

2012-6-6 20:49:34    修改其他进程的线程    允许
进程: c:\program files\common files\microsoft shared\3525\3525\3525.exe
目标: c:\windows\system32\svchost.exe
规则: [应用程序]*

2012-6-6 20:49:34    修改文件    允许
进程: c:\program files\common files\microsoft shared\3525\3525\3525.exe
目标: C:\WINDOWS\system32\drivers\etc\hosts
规则: [文件组]系统关键文件 -> [文件]c:\windows\system32\drivers\etc

2012-6-6 20:49:35    创建文件    允许
进程: c:\windows\system32\svchost.exe
目标: C:\WINDOWS\system32\drivers\stacsv.sys
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys

2012-6-6 20:49:35    创建注册表项    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DBKDRVR54
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2012-6-6 20:49:36    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DBKDRVR54\Start
值: 0x00000003(3)
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start

2012-6-6 20:49:37    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DBKDRVR54\ImagePath
值: \??\C:\WINDOWS\system32\drivers\stacsv.sys
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath

2012-6-6 20:49:38    加载驱动程序    允许
进程: c:\windows\system32\services.exe
目标: c:\windows\system32\drivers\stacsv.sys
规则: [应用程序]c:\windows\system32\services.exe

2012-6-6 20:49:38    创建注册表项    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ASTTools
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services

2012-6-6 20:49:39    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ASTTools\Start
值: 0x00000003(3)
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start

2012-6-6 20:49:40    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ASTTools\ImagePath
值: \??\C:\WINDOWS\system32\drivers\SuperDeletor.sys
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath

2012-6-6 20:49:40    加载驱动程序    允许
进程: c:\windows\system32\services.exe
目标: c:\windows\system32\drivers\superdeletor.sys
规则: [应用程序]c:\windows\system32\services.exe

2012-6-6 20:51:16    访问网络    允许
进程: c:\windows\system32\svchost.exe
目标: TCP [本机 : 1034] ->  [118.244.1.71 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]


求高手指正!!


成功提取到两个驱动(用MD拦截加载的方法):

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

hx1997
发表于 2012-6-7 07:26:35 来自手机 | 显示全部楼层
本帖最后由 hx1997 于 2012-6-7 07:31 编辑
zhou0197 发表于 2012-6-6 22:54
重大发现!

在写入了LZ提供的api.txt,那个ini文件,以及刚才提供的MSinfo文件夹之后,运行3525.exe( ...


我说过这两个貌似是超级巡警的驱动,看看是不是?是的话就是样本利用了,驱动本身没问题。
// 你是怎么发现的?
回复

举报

木桃恋夏
发表于 2012-6-7 09:49:01 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

zhou0197
 楼主| 发表于 2012-6-7 11:45:46 | 显示全部楼层
hx1997 发表于 2012-6-7 07:26
我说过这两个貌似是超级巡警的驱动,看看是不是?是的话就是样本利用了,驱动本身没问题。
// 你是怎么 ...

运气好而已………………

尽可能想办法贴近LZ的环境。

super那个是巡警的驱动,st那个应该不是吧?
回复

举报

XywCloud
发表于 2012-6-7 13:22:25 | 显示全部楼层
zhou0197 发表于 2012-6-7 11:45
运气好而已………………

尽可能想办法贴近LZ的环境。

killer说这两个驱动应该都是巡警v4时代的驱动……
回复

举报

zhou0197
 楼主| 发表于 2012-6-7 14:56:52 | 显示全部楼层
XywCloud 发表于 2012-6-7 13:22
killer说这两个驱动应该都是巡警v4时代的驱动……

好消息,经过多番尝试,外加旁门左道什么的,我发现我似乎成功了………………目前病毒无复发!

秘诀竟然是那4个字————安全模式!!


这个开始我真的没有想到(因为连PE下面也找不到驱动)。

进了安全模式之后,在正常系统下不可一世,让我头疼不已的那些驱动模块,各种钩子通通不见了。

我所做的就是:
1.用XT灭掉C:\Program Files\Common Files\Microsoft Shared\3525\3525\3525.exe这个文件以及其启动项。
2.直接进我的电脑,打开C:\Program Files\Common Files\Microsoft Shared\,把下面类似于3525这样全是数字的文件夹全部删除(如果有的话)。
3.进入C:\Program Files\Common Files\Microsoft Shared\MSInfo\文件夹,删除api.txt ,time.txt ,dns.txt ,win.txt ,zhu.txt ,IEFILES5.INI这几个文件。

然后重新启动回正常系统,驱动模块没了,钩子没了,目前看来一切正常了…………


实在出乎我的意料啊…………
回复

举报

XywCloud
发表于 2012-6-7 14:59:33 | 显示全部楼层
zhou0197 发表于 2012-6-7 14:56
好消息,经过多番尝试,外加旁门左道什么的,我发现我似乎成功了………………目前病毒无复发!

秘诀竟 ...

赶快向那个楼主推广此方法……
回复

举报

zhou0197
 楼主| 发表于 2012-6-7 15:00:30 | 显示全部楼层
XywCloud 发表于 2012-6-7 14:59
赶快向那个楼主推广此方法……

OK…………
回复

举报

XywCloud
发表于 2012-6-7 15:06:48 | 显示全部楼层
zhou0197 发表于 2012-6-7 15:00
OK…………

话说,我一开始还想到了个东西,只不过不确定,没说出来……
有些病毒会在关机时写入服务项,然后达到开机自启目的(然后开机后就删除自身文件了……)。而抓出这个启动项的最好方法就是——安全模式…安全模式下,关机时写入的服务不会被加载……
回复

举报

txozz
发表于 2012-7-1 13:09:56 | 显示全部楼层
驱动问题……不会是用了Icesword技术?xt下也看不到冰刀驱动的……
回复

举报

下一页 »
1 ...34567891011下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-2-2 02:51 , Processed in 0.090759 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表