内网病毒.可怕!

qianwenxiang

exe样本都在变化升级 但是传播方式和我说的一样

这次的太狡猾得从各方面绞杀 纯杀软解决不了 事后还会出来

不过这儿是样本区~主要还是交流样本用的~交流手动杀毒经验还是移动到别的区比较好

hetven

原帖由 tanlimo 于 2007-12-19 20:17 发表
由LSASS和SMSS来调用cmd.exe，看来SSM是防不住这个东西了。

COMODO可以防得住调用.只是刚开始时我以为是卡卡更新时安装的需要.所以允许了.还想请教高手:如果我使用绑定主机MAC.并用防止墙限制不让连到其他MAC地址.这样可以有效防止再从别的主机下载病毒吗

dsd1982

原帖由 hetven 于 2007-12-19 21:19 发表



COMODO可以防得住调用.只是刚开始时我以为是卡卡更新时安装的需要.所以允许了.还想请教高手:如果我使用绑定主机MAC.并用防止墙限制不让连到其他MAC地址.这样可以有效防止再从别的主机下载病毒吗

还是禁用cmd吧 装arp防火墙吧 协议缺陷只能用彩影的软件解决 合作版也不收费啊

hetven

原帖由 dsd1982 于 2007-12-19 21:25 发表



还是禁用cmd吧 装arp防火墙吧 协议缺陷只能用彩影的软件解决 合作版也不收费啊

cmd怎么能禁呢?很多时候还是会用到cmd这个命令的啊

tanlimo

卡卡更新时从来不会去调用CMD的，特别是用LSASS和SMSS来调用更不可能。

风行云涌

我也中了，不知怎么解决，重装了，右键进入D盘想把它给删掉，结果还是中回了，5555
我装好多杀软都装不了，最后只有麦咖啡能装上，不过它的功能也有几个被禁用，怎么也启动不了，就连个绿色的360在解压后也少了好几个文件，安全模式也进不去，上网时每张网页都加有广告，有个像是QQ提示那种的对话框，如果下载东西，不是用软件下载的（就是直接点保存的那种）都会下载到一个EXE的病毒文件。真是郁闷啊

hetven

原帖由 风行云涌 于 2007-12-19 22:29 发表
我也中了，不知怎么解决，重装了，右键进入D盘想把它给删掉，结果还是中回了，5555
我装好多杀软都装不了，最后只有麦咖啡能装上，不过它的功能也有几个被禁用，怎么也启动不了，就连个绿色的360在解压后也少了好几 ...

这个病毒会感染硬盘里的exe文件.我不知道红伞和卡巴能不能杀.我有这样建议:1.把分区中颜色发生变化的exe文件全;部删除;2.如果不愿意删完exe文件.又不肯定哪些中毒.装上COMODO.把FD+防护开到最高.禁止所有可执行文件在C:\windows\system\com创建任何文件.只要报有这种行为的EXE文件就基本没救了.必删.这样全部之后.格盘.重装.只要可以不要的EXE文件.全部不要留!

sharkkong

好想中毒呀，我家里的电脑已近3年没有尝过病毒的滋味了

dsd1982

原帖由 hetven 于 2007-12-19 21:32 发表


cmd怎么能禁呢?很多时候还是会用到cmd这个命令的啊

这是必须的 我最近发现很多病毒通过cmd和。bat执行exe文件 很多杀软监控都防不住

就是大家常见的病毒发作时出现dos窗口这种情况

用的时候让组策略可以在打开cmd

dsd1982

我在网上找到的一篇行为分析 zt的
行为分析：

1、释放病毒副本：

%Systemroot%\system32\Com\lsass.exe 94208 字节
%Systemroot%\system32\Com\smss.exe 9365 字节
%Systemroot%\system32\Com\netcfg.dll 40960 字节

2、添加启动文件夹，开机启动：

C:\Documents and Settings\当前用户名\「开始」菜单\程序\启动\~.pif

另外netcfg.dll尝试加载Shellhooks注册表项，但没有实现。

3、调用cacls，本身不判断文件系统（FAT或NTFS），后解除目录Com的权限，设为完全控制。

参数为：C:\winnt\system32\com /e /t /g admin:F

4、连接网络121.11.245.1**（ 广东省惠州市 电信）下载一个ARP病毒

释放到：%Systemroot%\system32\drivers\alg.exe 15181 字节

5、查找硬盘的文件，如名称里有“360”字样则删除。

6、可能会关闭一些窗口：

"ollydbg"
"softice"
"ida"
"asm"
"360"
"木马"
"清除"
..................

7、另外那个仿系统文件的smss.exe，应该和主体lsass.exe是互斥体，也起着进程守护的作用。

8、查找磁盘，生成Auorun.inf和pagefile.pif。

9、跳过C盘，开始感染EXE文件，但并不全部感染。   

感染时先把文件加载内存中，提取其图标资源，最后删除原文件，把修改过的文件栲贝回去。

因为这样，所以图标会变模糊，可能是无法读32位的....（知道的大牛请指导下）

PS：运行感染的文件，会释放一个filename.exe.log。但是仍无法执行

用PE工具对比下，基本上文件是报废了，区段被覆盖，DOS头、入口等都发生变化``

10、感染文件时如果发现Zip和Rar格式的，则用Rar自解压命令释放EXE文件，感染后重新打包放回原处！

汗一个....高科技了  

11、查找硬盘的htm、html、asp、spx、php、jsp网页文件，插入一段框架代码（16进制加密）

解后得：h**p://js.k0102.com/01.asp。

被和谐了汗，打不开！