3dm下载的游戏，带山寨数字签名，大量杀软miss

fuluoduo2008

在3dmgame下载的“死亡街区简体中文免安装版”，集成了国内的汉化补丁，游民星空很多说有毒，貌似原英文破解版无毒，怀疑国内补丁夹带病毒！

37楼饭友，找到了同一签名的另一游戏样本，原发于卡饭    http://bbs.kafan.cn/thread-1231386-1-1.html
毒霸论坛的详细分析，其行为条目，和这个如出一辙！！   http://bbs.duba.net/thread-22652085-1-1.html
“该病毒感染系统驱动文件”“重启吧，不仅驱动文件不存在了，而且驱动模块中也没这个病毒的影子。注册表项中是有这个驱动项的。不过，找到一个异常项，在PE下检测，MD5显示此驱动被感染了”。。。

上报红伞，今天回复了，无毒  也许是因为仅单exe，如果实机双击，生成的dll衍生物才会报毒。。

主程序ShippingPC-DBGame.exe，监控AVG报，360TS不报，主防都多次报。。
上传VT，19/54，红伞、bd系、卡巴、铁壳、趋势、360均miss！


上传哈勃，在system32目录创建dll，temp目录创建1455099951.472187.exe，并加入注册表防火墙信任进程，还查找qq目录…………


双击运行，360ts的主防拦截日志，又有很多哈勃没有的项目~~
[mw_shl_code=css,true]2016-02-10 21:40:40        远程线程注入        [已阻止]
详细描述：
程序：E:\Games\3DMGAME\死亡街区\Binaries\Win32\ShippingPC-DBGame.exe
行为：远程线程注入
路径：E:\Games\3DMGAME\死亡街区\Binaries\Win32\ShippingPC-DBGame.dat
风险文件：E:\Games\3DMGAME\死亡街区\Binaries\Win32\ShippingPC-DBGame.exe

2016-02-10 21:41:11        修改 驱动/服务        [自动阻止]
详细描述：
注册表位置：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\igfxpphsya\[ImagePath]
注册表内容：\??\C:\WINDOWS\system32\igfxpphsya.dll
进程：E:\Games\3DMGAME\死亡街区\Binaries\Win32\ShippingPC-DBGame.exe
父进程：C:\WINDOWS\explorer.exe , (0)

2016-02-10 21:41:11        修改 文件延迟操作项        [已阻止]
详细描述：
注册表位置：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\[PendingFileRenameOperations]
注册表内容：
\??\C:\WINDOWS\system32\Drivers\NetSafe.sys
进程：E:\Games\3DMGAME\死亡街区\Binaries\Win32\ShippingPC-DBGame.exe
父进程：C:\WINDOWS\explorer.exe , (103)

2016-02-10 21:41:29        发现木马：Win32/Trojan.Adware.37e        [已清除]
详细描述：
木马名称：Win32/Trojan.Adware.37e
所在路径：C:\WINDOWS\system32\igfxpphsya.dll[/mw_shl_code]
360、AVG报的创建C:\WINDOWS\system32\igfxpphsya.dll （被加为驱动） 传VT 16/54。。
有趣的是，exe和dll，都有国内一公司的数字签名！！


请饭友们帮忙分析下，属实的话，帮上报。。附件太大，两个文件放网盘。。

链接：http://pan.baidu.com/s/1skveMpZ 密码：9tsu

1446547521

FS

dll不报





[mw_shl_code=css,true]    文件名称：ShippingPC-DBGame.exe
    MD5：881c968be2b3947376aaf3ecd2e52643
    Sha-1：765c4adacfa993f6076ae7f75a8e86b20d3d7dc8
    文件大小：30.57MB
    创建时间：2016-02-10 23:08:54
    文件类型：EXE
    PEID信息：PEiD took too long!

火眼点评

      提升权限;疑似查找杀软进程;疑似捆绑多个文件，警惕流氓软件捆绑推广或病毒捆绑传播（需与正常安装包区分开）;下载文件;创建服务;设置文件属性;添加Windows防火墙例外，防止访问网络时被防火墙拦截;IE 代{过}{滤}理服务器设置;创建进程;查找文件;在其他进程中申请内存;添加延迟重命名项，通常用于重启后删除文件;加载驱动
其他行为监控

    行为描述：创建服务
    附加信息：

    \??\%system%\consolerht.dll
    行为描述：下载文件
    附加信息：

    http://xml.btplay.net:83/union/index.php/setup/add?mac=[MAC-ADDRESS]&disk=90F8-6215&cCapity=3409&userId=40&cpu=1959852938&rand=65

    xml.btplay.net/union/index.php/setup/add?mac=[MAC-ADDRESS]&disk=90F8-6215&cCapity=3409&userId=40&cpu=1959852938&rand=65
    行为描述：疑似捆绑多个文件，警惕流氓软件捆绑推广或病毒捆绑传播（需与正常安装包区分开）
    附加信息：

    shippingpc-dbgame.dat
    行为描述：疑似查找杀软进程
    附加信息：

    KXESCORE.EXE [金山相关进程]
    行为描述：提升权限
    附加信息：

    "SeLoadDriverPrivilege"
    行为描述：加载驱动
    附加信息：

    \??\%system%\consolerht.dll
    行为描述：添加延迟重命名项，通常用于重启后删除文件
    附加信息：

    \??\%system%\Drivers\NetSafe.sys
    行为描述：在其他进程中申请内存
    附加信息：

    %ProgramFiles%\ShippingPC-DBGame.dat
    行为描述：查找文件
    附加信息：

    ""

    "%system%\*.dll"

    "%system%\consolerht.dll"

    "%system%\drivers\NetSafe.sys"

    "%system%\drivers\WebSafe.sys"

    "%system%\drivers\gamecn.sys"

    "%system%\drivers\spgame.sys"

    "%system%\drivers\tcpbtext.sys"

    "%system%\drivers\yxhh.sys"

    "%system%\dvsrec.ini"

    "%temp%\~00.tmp"

    "wvi.dll"
    行为描述：创建进程
    附加信息：

    %ProgramFiles%\ShippingPC-DBGame.dat
    行为描述：IE 代{过}{滤}理服务器设置
    附加信息：

    关闭IE代{过}{滤}理服务
    行为描述：添加Windows防火墙例外，防止访问网络时被防火墙拦截
    附加信息：

    %ProgramFiles%\ShippingPC-DBGame.dat >> %ProgramFiles%\ShippingPC-DBGame.dat:*:Enabled:死亡街区

    %ProgramFiles%\ShippingPC-DBGame.exe >> %ProgramFiles%\ShippingPC-DBGame.exe:*:Enabled:死亡街区
    行为描述：设置文件属性
    附加信息：

    %system%\dvsrec.ini >> HIDE

    %system%\dvsrec.ini >> HIDE >> SYSTEM

    %system%\dvsrec.ini >> SYSTEM

文件操作监控
操作        文件MD5        文件大小        文件路径
新增        0d3a8fafceacd8b7625cd549757a7df1        20992        %system%\\consolerht.dll
新增        aed9410d766e64d0f90fa06bbbe9ce7e        129        %system%\\dvsrec.ini
新增        b79ee7b33b285c7a245e3773f9c6bb56        31773696        %ProgramFiles%\\ShippingPC-DBGame....
进程操作监控

    创建进程：%ProgramFiles%\ShippingPC-DBGame.dat
    启动参数：无

    新增
    删除
    修改

注册表监控

    HKEY_LOCAL_MACHINE\\SYSTEM\ControlSet001\Control\Lsa
    [Uppers] = [0x00000001]
    HKEY_LOCAL_MACHINE\\SYSTEM\ControlSet001\Control\NetSafe
    HKEY_LOCAL_MACHINE\\SYSTEM\ControlSet001\Control\Network
    [SecurityD] = [\xf9\x43\x66\x57\xf4...]
    [SecurityC] = [\xf9\x43\x66\x57\xf4...]
    [AuthenticationD] = [\xf9\x43\x66\x57\xf4...]
    [AuthenticationC] = [\xf9\x43\x66\x57\xf4...]
    HKEY_LOCAL_MACHINE\\SYSTEM\ControlSet001\Control\Session Manager
    [PendingFileRenameOperations] = [\??\%system%\Drivers\NetSafe.sys]
    HKEY_LOCAL_MACHINE\\SYSTEM\ControlSet001\Enum\Root\LEGACY_CONSOLERHT
    [NextInstance] = [0x00000001]
    HKEY_LOCAL_MACHINE\\SYSTEM\ControlSet001\Enum\Root\LEGACY_CONSOLERHT\0000
    [ConfigFlags] = [0x00000000]
    [Class] = [LegacyDriver]
    [DeviceDesc] = [consolerht]
    [ClassGUID] = [{8ECC055D-047F-11D1-A537-0000F8753ED1}]
    [Service] = [consolerht]
    [Legacy] = [0x00000001]
    HKEY_LOCAL_MACHINE\\SYSTEM\ControlSet001\Enum\Root\LEGACY_CONSOLERHT\0000\C...
    [*NewlyCreated*] = [0x00000000]
    [ActiveService] = [consolerht]
    HKEY_LOCAL_MACHINE\\SYSTEM\ControlSet001\Services\consolerht
    [ImagePath] = [\??\%system%\consolerht.dll]
    [Type] = [0x00000001]
    [ErrorControl] = [0x00000000]
    [Start] = [0x00000001]
    HKEY_LOCAL_MACHINE\\SYSTEM\ControlSet001\Services\consolerht\Enum
    [Count] = [0x00000001]
    [NextInstance] = [0x00000001]
    [0] = [Root\LEGACY_CONSOLERHT\0000]
    HKEY_LOCAL_MACHINE\\SYSTEM\ControlSet001\Services\SharedAccess\Parameters\F...
    [%ProgramFiles%\ShippingPC-DBGame.exe] = [%ProgramFiles%\ShippingPC-DBGame.exe:*:Enabled:死亡街区]
    [%ProgramFiles%\ShippingPC-DBGame.dat] = [%ProgramFiles%\ShippingPC-DBGame.dat:*:Enabled:死亡街区]
    HKEY_LOCAL_MACHINE\\SYSTEM\CurrentControlSet\Control\Lsa
    [Uppers] = [0x00000001]
    HKEY_LOCAL_MACHINE\\SYSTEM\CurrentControlSet\Control\NetSafe
    HKEY_LOCAL_MACHINE\\SYSTEM\CurrentControlSet\Control\Network
    [SecurityC] = [\xf9\x43\x66\x57\xf4...]
    [SecurityD] = [\xf9\x43\x66\x57\xf4...]
    [AuthenticationC] = [\xf9\x43\x66\x57\xf4...]
    [AuthenticationD] = [\xf9\x43\x66\x57\xf4...]
    HKEY_LOCAL_MACHINE\\SYSTEM\CurrentControlSet\Control\Session Manager
    [PendingFileRenameOperations] = [\??\%system%\Drivers\NetSafe.sys]
    HKEY_LOCAL_MACHINE\\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CONSOLERHT
    [NextInstance] = [0x00000001]
    HKEY_LOCAL_MACHINE\\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CONSOLERHT\00...
    [Service] = [consolerht]
    [ConfigFlags] = [0x00000000]
    [Legacy] = [0x00000001]
    [Class] = [LegacyDriver]
    [DeviceDesc] = [consolerht]
    [ClassGUID] = [{8ECC055D-047F-11D1-A537-0000F8753ED1}]
    HKEY_LOCAL_MACHINE\\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_CONSOLERHT\00...
    [*NewlyCreated*] = [0x00000000]
    [ActiveService] = [consolerht]
    HKEY_LOCAL_MACHINE\\SYSTEM\CurrentControlSet\Services\consolerht
    [Start] = [0x00000001]
    [ImagePath] = [\??\%system%\consolerht.dll]
    [ErrorControl] = [0x00000000]
    [Type] = [0x00000001]
    HKEY_LOCAL_MACHINE\\SYSTEM\CurrentControlSet\Services\consolerht\Enum
    [NextInstance] = [0x00000001]
    [Count] = [0x00000001]
    [0] = [Root\LEGACY_CONSOLERHT\0000]
    HKEY_LOCAL_MACHINE\\SYSTEM\CurrentControlSet\Services\SharedAccess\Paramete...
    [%ProgramFiles%\ShippingPC-DBGame.exe] = [%ProgramFiles%\ShippingPC-DBGame.exe:*:Enabled:死亡街区]
    [%ProgramFiles%\ShippingPC-DBGame.dat] = [%ProgramFiles%\ShippingPC-DBGame.dat:*:Enabled:死亡街区]

网络监控

    网络操作
    [HTTP Request]NULL xml.btplay.net/union/index.php/setup/add?mac=[MAC-ADDRESS]&disk=90F8-6215&cCapity=3409&userId=40&cpu=1959852938&rand=65
    [Open URL]http://xml.btplay.net:83/union/index.php/setup/add?mac=[MAC-ADDRESS]&disk=90F8-6215&cCapity=3409&userId=40&cpu=1959852938&rand=65
    [Open URL]xml.btplay.net

[/mw_shl_code]

fuluoduo2008

1446547521 发表于 2016-2-10 22:57
FS

dll不报

因为没有完整的游戏文件夹，所以单独执行exe，恶意行为只是一部分。。bd系扫描都miss

1446547521

fuluoduo2008 发表于 2016-2-10 23:06
因为没有完整的游戏文件夹，所以单独执行exe，恶意行为只是一部分。。bd系扫描都miss

召唤HIPS用户，双击看下行为吧

尘梦幽然

也太低估赛门铁克的样本搜集能力了，这么广泛传播的样本，怎么可能不入库？

fuluoduo2008

尘梦幽然 发表于 2016-2-10 23:16
也太低估赛门铁克的样本搜集能力了，这么广泛传播的样本，怎么可能不入库？

厉害。。。这些想必都是国内用户了

275751198

fuluoduo2008

1446547521 发表于 2016-2-10 22:57
FS

dll不报

火眼的比哈勃更详细，看来没跑了
[mw_shl_code=css,true]E = jnkjsc_jx@163.com
CN = 历下景祥科技经营部
O = 历下景祥科技经营部
L = 济南市
S = 山东省
C = CN[/mw_shl_code]

fuluoduo2008

275751198 发表于 2016-2-10 23:30

看来国内版已经拉黑了 国际版开着红伞居然miss！！

vm001

从火眼行为看一一不是病毒，至于这个签名，以前多次被黑利用，所以签名估计被吊销]