近期在夷陵中学横行的U盘病毒样本（2014.05.02已更新）

显示全部楼层 · 发表于 2014-4-19 13:53:13

第一个解压后 q管灭了

显示全部楼层 · 发表于 2014-4-19 16:40:43

基本信息

文件名称：26705857_Desktop.vbs
MD5：4a6c28c50c4e7112b9b35faae017affe
Sha-1：5ffccbc637276e8220300e51f65ccc1726e01baa
文件大小：16KB
创建时间：2014-04-18 18:44:46
文件类型：Unknown

..

火眼点评

IE 代{过}{滤}理服务器设置;搜索指定窗口;查找指定进程;设置文件属性;创建进程;创建互斥体;设置文件权限;添加开机自启动项;在其他进程中申请内存;拷贝自身到其他目录;检测是否存在指定注册表键;遍历磁盘类型
..

loading
..

loading
..

loading
..

loading
..

loading
..

其他行为监控

行为描述：查找指定进程

附加信息：
explorer.exe
.

行为描述：搜索指定窗口

附加信息：
["Indicator" , ""]
.

行为描述：IE 代{过}{滤}理服务器设置

附加信息：
关闭IE代{过}{滤}理服务
.

行为描述：遍历磁盘类型

附加信息：
C:,D:,Z:
.

行为描述：检测是否存在指定注册表键

附加信息：
HKEY_LOCAL_MACHINE\Software\Microsoft\OleAut
.

行为描述：拷贝自身到其他目录

附加信息：
%USERPROFILE%\「开始」菜单\程序\启动\26705857_Desktop.vbs

%temp%\26705857_Desktop.vbs

d:\26705857_Desktop.vbs
.

行为描述：在其他进程中申请内存

附加信息：
%system%\wbem\wmiprvse.exe

%system%\wscript.exe
.

行为描述：添加开机自启动项

附加信息：
[开始启动目录] - 26705857_Desktop.vbs

[26705857_Desktop] - wscript.exe //B "%temp%\26705857_Desktop.vbs"
.

行为描述：设置文件权限

附加信息：
SLESS_PT ----> DACL_SECURITY_INFORMATION
.

行为描述：创建互斥体

附加信息：
"RPCSS_REGEVENT:{73E709EA-5D93-4B2E-BBB0-99B7938DA9E4}"

"WMIPRVSE.EXE"
.

行为描述：创建进程

附加信息：
%system%\wbem\wmiprvse.exe

%system%\wscript.exe
.

行为描述：设置文件属性

附加信息：
D:\26705857_Desktop.vbs >> HIDE

D:\26705857_Desktop.vbs >> SYSTEM

D:\RECYCLER >> HIDE

D:\RECYCLER >> SYSTEM

D:\pictures >> HIDE

D:\pictures >> SYSTEM

\\%HostShared%_06\26705857_Desktop.vbs >> HIDE

\\%HostShared%_06\26705857_Desktop.vbs >> SYSTEM
.
.
.

文件操作监控

操作文件MD5 文件大小文件路径

新增 4a6c28c50c4e7112b9b35faae017affe 15940 %USERPROFILE%\「开始」菜单\程序\启动\2670585...
新增 5aab0282db962238065db1a96af1fbc4 505 D:\Pictures.lnk
新增 fb42151d573ae5eea40143229252c75b 505 D:\RECYCLER.lnk
新增 80cbb69fe8865709568c9e64b70aad56 547 D:\System Volume Information.lnk
新增 4a6c28c50c4e7112b9b35faae017affe 15940 %temp%\26705857_Desktop.vbs
新增 4a6c28c50c4e7112b9b35faae017affe 15940 D:\26705857_Desktop.vbs
修改无 0 %USERPROFILE%\ntuser.dat
..

进程操作监控

创建进程：%system%\wscript.exe

启动参数："%system%\wscript.exe" //B "%temp%\26705857_Desktop.vbs"
.
.

•新增
•删除
•修改
注册表监控
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[26705857_Desktop] = [wscript.exe //B "%temp%\26705857_Desktop.vbs"]

HKEY_LOCAL_MACHINE\SOFTWARE\26705857_Desktop
[(NULL)] = [no]

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
[26705857_Desktop] = [wscript.exe //B "%temp%\26705857_Desktop.vbs"]
.
.

网络监控

网络操作
[HTTP Request]POST microsoftntdll.sytes.net/is-ready

[Open URL]microsoftntdll.sytes.net

显示全部楼层 · 发表于 2014-4-19 19:25:52

为什么微点没有来测试啊

显示全部楼层 · 发表于 2014-4-19 19:30:58

微点没有杀，解压直接被MSE给杀了

显示全部楼层 · 发表于 2014-4-19 23:16:45

瑞星杀第二个

显示全部楼层 · 发表于 2014-4-20 14:40:19

显示全部楼层 · 发表于 2014-4-20 14:59:19

解包出来有个vbs的文件，我把它改成txt格式了，看看对大家有没有用处。

显示全部楼层 · 发表于 2014-4-20 20:58:56

小A双杀啊

显示全部楼层 · 发表于 2014-4-20 21:02:16

这种好东西，怎么能少了费尔呢

显示全部楼层 · 发表于 2014-4-23 09:29:36

第一个报毒，第二个打不开

[病毒样本] 近期在夷陵中学横行的U盘病毒样本（2014.05.02已更新）

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源

浏览过的版块