覆盖可执行文件、新形式的随机文件名还有刷流量的东西

dikex

Ｄ#Ｉ=Ｋ$ＥＸ#Ｄ#ＩＫＥ=Ｘ$ＤＩＫＥＸ#ＤＩ#Ｋ=ＥＸ$Ｄ#$ＩＫ$#ＥＸＤ+=ＩＫ#=Ｅ$Ｘ$Ｄ$Ｉ#+ＫＥＸ=+Ｄ#ＩＫＥＸＤＩ$Ｋ#ＥＸ+$Ｄ=


前言：

在剑盟的样本区看到的样本一个，行为较为恶劣！

ＸＤＩ=ＫＥ$ＸＤＩ$Ｋ$Ｅ+ＸＤ#=Ｉ$ＫＥＸ$ＤＩ+$Ｋ=ＥＸＤ#ＩＫ#ＥＸ=Ｄ$Ｉ#ＫＥ=Ｘ$Ｄ##Ｉ$Ｋ#ＥＸ#Ｄ=Ｉ=+Ｋ#+ＥＸＤ+$Ｉ==Ｋ$#Ｅ=+

样本信息：

又只有少得可怜的三家报了：

卡巴斯基 5.5.10 2007.11.30 2007-11-30 Trojan-Clicker.Win32.Agent.ob 4.919
F-SECURE 5.51.6100 2007.11.29.02 2007-11-29 Trojan-Clicker.Win32.Agent.ob [AVP] 2.975
Prevx V2 20071130 2007-11-30 TROJAN.DOWNLOADER.GEN 24.094

文件名称 :   QQ.exe
文件大小 :   1830024 byte
文件类型 :   MS-DOS executable (EXE), OS/2 or MS Windows
MD5 :   8bf9a828a83e42849460f37a2de1e9aa
SHA1 :   07d72aad64d3275260c15db562e0efcf0bff09ed

+ＩＫ+#Ｅ==Ｘ#Ｄ+=Ｉ+ＫＥＸＤ$ＩＫ$ＥＸ$+Ｄ$#ＩＫＥ#=Ｘ#Ｄ=$Ｉ+=ＫＥ#Ｘ+=Ｄ+=Ｉ$ＫＥ+ＸＤ#ＩＫＥ$#Ｘ#+Ｄ#+ＩＫ+ＥＸＤ$ＩＫ#Ｅ

文件改动：

创建：

C:\1196396962.bat
C:\mpvisb.dll
C:\Program Files\Windows Media Player\startplay.wav

下面两个的文件名不定，可能是SVCH0ST.EXE、SVCH05T.EXE、SVOHCST.EXE等与svchost.exe较为接近的文件名：
C:\Program Files\Internet Explorer\SVCH0ST.EXE
C:\Program Files\Windows Media Player\SVOHCST.EXE

删除：

C:\WINDOWS\Media\Windows XP 开始.wav
C:\WINDOWS\Media\Windows XP 信息栏.wav
C:\WINDOWS\Media\Windows XP 弹出窗口已阻止.wav

用一个自身（大小为1830024 byte）覆盖部分分区下的部分exe和com文件！貌似不是对所有的都敢兴趣，我这里只是覆盖了D盘下的部分文件里面的文件，还有部分文件变得很大，但也是无法修复的……

#ＤＩＫ#=Ｅ$$ＸＤ#$Ｉ#ＫＥ$Ｘ#ＤＩ#Ｋ#ＥＸ=Ｄ+Ｉ=Ｋ$=ＥＸＤ+Ｉ+=ＫＥＸＤＩ#ＫＥ$ＸＤＩ$ＫＥ#Ｘ+$Ｄ=Ｉ=+Ｋ+Ｅ$Ｘ$ＤＩ$=Ｋ+Ｅ

注册表改动：

创建：

创建服务SVCHOSTdriver：
HKLM\System\CurrentControlSet\Services\SVCHOSTdriver\ImagePath
    值：Type: REG_EXPAND_SZ, Length: 100, Data: C:\Program Files\Windows Media Player\SVOHCST.EXE
HKLM\System\CurrentControlSet\Services\SVCHOSTdriver\DisplayName
    值：Type: REG_SZ, Length: 28, Data: SVCHOSTdriver
HKLM\System\CurrentControlSet\Services\SVCHOSTdriver\Description
    值：Type: REG_SZ, Length: 350, Data: SVCHOSTdriver of the Diskdrive,That's right, cannot stop this service. So order a subscription to AdSenseAccelerator and see how much this COO and Vice President at iPowerWeb

删除：

安全模式报废了：
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318}
HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318}

把run的启动项都被删除掉……
HKLM\Software\Microsoft\Windows\CurrentVersion\Run

+Ｘ+ＤＩＫＥ+Ｘ$=Ｄ=ＩＫ=+ＥＸＤ#+Ｉ#ＫＥ$ＸＤ=ＩＫＥ=Ｘ=ＤＩ+ＫＥ+ＸＤＩ$Ｋ+Ｅ#Ｘ=ＤＩＫ=#Ｅ=Ｘ$Ｄ$Ｉ$#ＫＥ#ＸＤ#Ｉ#Ｋ+Ｅ#

运行C:\1196396962.bat，批处理的部分内容：

regsvr32.exe /s C:\mpvisc.dll
regsvr32.exe /u /s wmp.dll
regsvr32.exe /u /s vbscript.dll
regsvr32.exe /s jscript.dll

就是注册病毒的文件C:\mpvisc.dll并反注册部分系统文件wmp.dll、vbscript.dll以及jscript.dll

$+ＸＤ=Ｉ=ＫＥＸ+Ｄ=#Ｉ$Ｋ=Ｅ#ＸＤ+ＩＫ#Ｅ#Ｘ=ＤＩＫ$$Ｅ=$Ｘ$ＤＩＫ+=Ｅ#Ｘ#+ＤＩ=$Ｋ+Ｅ#Ｘ$Ｄ#Ｉ$#ＫＥＸＤ#Ｉ#Ｋ+ＥＸ$ＤＩＫ

其他方面：

会利用批处理先把系统时间改为2004-08-17 20:00:00.00，之后再改回来；

企图启动名为ctmonedriver的服务，但我这里未见它创建，google了一下未果；

C:\Program Files\Internet Explorer\SVCH0ST.EXE会大量的刷流量，部分站点还有毒……

$Ｉ=+Ｋ+Ｅ##Ｘ=ＤＩ$Ｋ+$ＥＸ+=Ｄ$$Ｉ=#ＫＥＸ+ＤＩＫＥ$=ＸＤ##Ｉ+ＫＥＸ=$ＤＩ$+Ｋ$Ｅ#$ＸＤ$$Ｉ#Ｋ=ＥＸＤＩＫＥＸ#Ｄ#$Ｉ=#

最后：

这个东西的行为较为恶劣，中招了被覆盖的文件也就没有了，中招的同志节哀吧；

他的随机文件名比较新奇，不像是以前那样只是毫无意义的一堆数字和字母，然人一看就知道有问题；

而刷流量时开启N个进程，搞得机子卡卡的；总的来说，这是个行为比较恶劣的东西！

Ｅ=$Ｘ#Ｄ++Ｉ$=Ｋ=Ｅ=ＸＤ==ＩＫ#$ＥＸＤＩ#ＫＥ$Ｘ=Ｄ#Ｉ#=Ｋ+ＥＸＤＩＫＥ+ＸＤ#+Ｉ#Ｋ+=Ｅ=Ｘ#ＤＩＫ$Ｅ=$ＸＤＩ#$ＫＥＸＤ=Ｉ=

转载请保留声明！（http://hi.baidu.com/dikex/blog/item/36300afa339a8c889e5146f5.html）
作者dikex（六翼刺猬），原文链接：http://hi.baidu.com/dikex/blog/item/336ff3bfaa7c4d0918d81f5d.html


[ 本帖最后由 promised 于 2007-11-30 19:02 编辑 ]

sam.to

真好!卡巴可杀

sam.to

已经上报给nod,symantec

mofunzone

已经上报antivir，连带拆解出的5个文件

tun

想试试衍生物

kkgh

瑞星病毒查杀结果报告

清除病毒种类列表：
病毒： Worm.Win32.Agent.zdw     

用户来源：互联网

软件版本：20.20.40

yangzhengming12

哦，

googlehack

似乎是新病毒~

Graybird

The file 'QQ.exe' has been determined to be 'MALWARE'. Our analysts discovered that the file is a Trojan. In general this kind of programs contains harmful functionality called payload. Detection will be added to our virus definition file (VDF) with one of the next updates.

千里同风

好毒呀！