鬼影6样本

显示全部楼层 · 发表于 2013-7-4 23:27:09

llcy 发表于 2013-7-4 20:22

看下都感染了哪些系统文件

显示全部楼层 · 发表于 2013-7-5 06:57:55

本帖最后由 jioushizhu 于 2013-7-5 07:01 编辑

darkwolf_99 发表于 2013-7-4 22:38
在vm里试了几次，win7sp1 x64，系统能正常启动

请问不是破坏mbr的话，是哪个文件或注册表项被穿了？

感染系统目录下的sfc_os.dll文件！
sfc_os.dll下载这个文件www.leowen.com/downloadv2013/demo.EXE

显示全部楼层 · 发表于 2013-7-5 11:29:28

jioushizhu 发表于 2013-7-5 06:57
感染系统目录下的sfc_os.dll文件！
sfc_os.dll下载这个文件www.leowen.com/downloadv2013/demo.EXE

鼓掌

SD 1.2.0.383　和　DeepFreeze 7.61.220.4320　都被无情的穿了

SSF拦住这个“注入”即可；或在SBie里运行

2013/7/5 10:43:07,C:\Users\xxx\AppData\Win7Elevate.exe,40,　Opening process or thread for modify access (taskhost.exe(pid=1476))

拦截后弹出

显示全部楼层 · 发表于 2013-7-5 12:46:21

红伞拦截

显示全部楼层 · 发表于 2013-7-5 13:28:37

jioushizhu 发表于 2013-7-4 20:14
忘记上传附件了。。。。。

类型：
木马(Win32/Trojan.DDoS.ba4)

描述：
<sha1>18350f1dc068327322fa656c5bb622b21d0e0a03</sha1>

扫描引擎：
360云查杀引擎

文件路径：
D:\360安全浏览器下载\Qvod.7z

文件指纹(MD5)：
cd8c39504fecdb034a330c59f8c402e5

显示全部楼层 · 发表于 2013-7-5 13:45:15

本帖最后由 hddu 于 2013-7-5 14:31 编辑

3L

2013-07-05 13:51:33 结束/挂起线程操作:阻止并结束进程
进程路径:F:\virus\Qvod\Qvod.exe
目标进程:C:\WINDOWS\system32\winlogon.exe
触发规则:所有程序规则->系统进程设置->%windir%\system32\winlogon.exe

显示全部楼层 · 发表于 2013-7-5 13:46:52

管家下载保护秒了

显示全部楼层 · 发表于 2013-7-5 13:58:59

本帖最后由 hddu 于 2013-7-5 14:31 编辑

3L

2013-07-05 13:55:03 加载库文件    操作:阻止
进程路径:C:\WINDOWS\explorer.exe
文件路径:C:\WINDOWS\system32\38F90504.tmp
触发规则:应用程序规则->库文件设置->C:\WINDOWS\Explorer.EXE->*\*.tmp

2013-07-05 13:55:07 创建文件    操作:允许
进程路径:F:\virus\Qvod\Qvod.exe
文件路径:C:\WINDOWS\system32\CLEARNLOADIMAGE.sys
触发规则:所有程序规则->驱动文件保护设置->%WinDir%\system32\*.sys

2013-07-05 13:55:07 创建文件    操作:允许
进程路径:F:\virus\Qvod\Qvod.exe
文件路径:C:\WINDOWS\system32\xxx.sys
触发规则:所有程序规则->驱动文件保护设置->%WinDir%\system32\*.sys

2013-07-05 13:55:07 访问服务管理器    操作:阻止
进程路径:F:\virus\Qvod\Qvod.exe

触发规则:所有程序规则->*

2013-07-05 13:55:09 创建注册表值    操作:允许
进程路径:F:\virus\Qvod\Qvod.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\130A61E6
注册表名称:[Key]
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2013-07-05 13:55:13 安装服务或者驱动    操作:允许
进程路径:F:\virus\Qvod\Qvod.exe
文件路径:C:\WINDOWS\system32\130A61E6.sys
触发规则:所有程序规则->加载驱动安装服务->*\*.sys

2013-07-05 13:55:13 修改注册表内容    操作:阻止并结束进程
进程路径:F:\virus\Qvod\Qvod.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\SW\{eec12db6-ad9c-4168-8658-b03daef417fe}\{ABD61E00-9350-47e2-A632-4438B90C6641}
注册表名称:Service
更改后:130A61E6
更改前:drmkaud
触发规则:所有程序规则->资源管理器->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Enum*

2013-07-05 13:55:13 安装服务或者驱动    操作:阻止
进程路径:F:\virus\Qvod\Qvod.exe
文件路径:C:\WINDOWS\Base
触发规则:所有程序规则->加载驱动安装服务->%windir%\*

显示全部楼层 · 发表于 2013-7-5 14:14:00

本帖最后由 hddu 于 2013-7-5 14:32 编辑

3L

2013-07-05 14:11:13 创建文件    操作:允许
进程路径:F:\virus\Qvod\Qvod.exe
文件路径:C:\WINDOWS\system32\CLEARNLOADIMAGE.sys
触发规则:所有程序规则->驱动文件保护设置->%WinDir%\system32\*.sys

2013-07-05 14:11:13 创建文件    操作:允许
进程路径:F:\virus\Qvod\Qvod.exe
文件路径:C:\WINDOWS\system32\xxx.sys
触发规则:所有程序规则->驱动文件保护设置->%WinDir%\system32\*.sys

2013-07-05 14:11:13 访问服务管理器    操作:允许
进程路径:F:\virus\Qvod\Qvod.exe

触发规则:所有程序规则->*

2013-07-05 14:11:13 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\xxx
注册表名称:[Key]
触发规则:应用程序规则->系统程序(二)->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2013-07-05 14:11:13 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\xxx
注册表名称:Start
触发规则:应用程序规则->系统程序(二)->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2013-07-05 14:11:16 安装服务或者驱动    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\WINDOWS\system32\xxx.sys
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->?:\*.sys

2013-07-05 14:11:17 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\xxx
注册表名称:ImagePath
触发规则:应用程序规则->系统程序(二)->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2013-07-05 14:11:17 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\xxx\Security
注册表名称:[Key]
触发规则:应用程序规则->系统程序(二)->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2013-07-05 14:11:17 创建注册表值    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\xxx\Enum
注册表名称:[Key]
触发规则:应用程序规则->系统程序(二)->%windir%\system32\services.exe->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2013-07-05 14:11:19 加载驱动程序    操作:允许
进程路径:C:\WINDOWS\system32\services.exe
驱动路径:C:\WINDOWS\system32\xxx.sys
触发规则:应用程序规则->系统程序->%windir%\system32\services.exe->?:\*.sys

2013-07-05 14:11:20 创建注册表值    操作:允许
进程路径:F:\virus\Qvod\Qvod.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\6F8F44F5
注册表名称:[Key]
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services*

2013-07-05 14:11:24 安装服务或者驱动    操作:允许
进程路径:F:\virus\Qvod\Qvod.exe
文件路径:C:\WINDOWS\system32\6F8F44F5.sys
触发规则:所有程序规则->加载驱动安装服务->*\*.sys

2013-07-05 14:11:24 修改注册表内容    操作:阻止并结束进程
进程路径:F:\virus\Qvod\Qvod.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Enum\SW\{eec12db6-ad9c-4168-8658-b03daef417fe}\{ABD61E00-9350-47e2-A632-4438B90C6641}
注册表名称:Service
更改后:6F8F44F5
更改前:drmkaud
触发规则:所有程序规则->资源管理器->HKEY_LOCAL_MACHINE\SYSTEM\*ControlSet*\Enum*

显示全部楼层 · 发表于 2013-7-5 14:26:24

重启，系统正常。

谢爹谢娘谢卡饭。

[病毒样本] 鬼影6样本

本帖子中包含更多资源

本帖子中包含更多资源