感染型+机器狗无敌了

显示全部楼层 · 发表于 2008-2-25 13:56:41

某VB编写的感染型木马，感染所有exe,感染前会将被感染的文件被分为"同名.exe "（注意exe后面有个空格），并将其设置为隐藏和系统属性。而且被感染的exe不会再感染其他exe。
因为尚未找到感染源，所以该感染型病毒的其他情况尚未能得知。

下面说的是被感染后的行为：
被感染的exe运行后，会优先执行添加的代码，连接至http://down.malasc.cn/d.exe下载d.exe，并复制到系统盘根目录，重命名为testwin.txt，然后执行。
d.exe(testwin.txt)运行后会释放两个tmp*.tmp（两个文件的MD5值相同）至临时文件夹以及pop.sys至drivers目录，并运行其中一个tmp
然后创建pop服务，加载pop.sys，夺取硬盘控制权，将恶意代码添加到在真实磁盘上的ctfmon.exe或conime.exe（貌似还有explorer.exe）。
而被运行的tmp连接至  http://down00.malasc.cn/downlist.txt，下载其中的33个木马，并复制到临时文件夹，重命名为temp*.tmp后依次运行。

样本如下：
application.zip  —— 里面是干净的文件和被感染的文件—— 病毒1个（被感染的文件貌似红伞飘，卡巴、avast!可以发现但无法修复，江民可以修复被感染的文件）
virus.zip ——  里面是d.exe和其释放的衍生物及被感染的系统文件 ——病毒 4个
samples.rar —— 下载的28个木马—— 病毒28个（应该是33个，但是有5个挂了，下不下来…）

-----
所有样本包病毒总计：33个

[ 本帖最后由 yimike 于 2008-2-25 14:15 编辑 ]

显示全部楼层 · 发表于 2008-2-25 14:01:42

Starting the file scan:

Begin scan in 'C:\Documents and Settings\fishx\桌面\Virus.zip'
C:\Documents and Settings\fishx\桌面\Virus.zip
  [0] Archive type: ZIP
  --> pop.sys
   [DETECTION] Is the Trojan horse TR/PSW.OnlineGames.ppu.1
  --> tmp5.tmp
   [DETECTION] Is the Trojan horse TR/Agent.8192.224
  --> ctfmon.exe
   [DETECTION] Is the Trojan horse TR/Agent.8192.224
  --> d.exe
   [DETECTION] Is the Trojan horse TR/PSW.OnlineGames.ppu
   [INFO]    The file was moved to '483459f9.qua'!

显示全部楼层 · 发表于 2008-2-25 14:03:41

BD 25
最关键的application.zip没查出来

项目: 29.exe
      检查档案: E:\pic\_PICtemp\Samples.part1.rar
      状态: 发现病毒
      病毒: Dropped:Generic.Malware.SBdld.E1286D2F (BD 引擎)
项目: 3.exe
      检查档案: E:\pic\_PICtemp\Samples.part1.rar
      状态: 发现病毒
      病毒: Trojan.PWS.OnlineGames.OPH (BD 引擎)
项目: 30.exe
      检查档案: E:\pic\_PICtemp\Samples.part1.rar
      状态: 发现病毒
      病毒: DeepScan:Generic.Malware.dld!!.076D581F (BD 引擎)
项目: 4.exe
      检查档案: E:\pic\_PICtemp\Samples.part1.rar
      状态: 发现病毒
      病毒: Trojan.PWS.Onlinegames.QYJ (BD 引擎)
项目: 5.exe
      检查档案: E:\pic\_PICtemp\Samples.part1.rar
      状态: 发现病毒
      病毒: Dropped:Generic.Malware.SBdld.70E584C9 (BD 引擎)
项目: 7.exe
      检查档案: E:\pic\_PICtemp\Samples.part1.rar
      状态: 发现病毒
      病毒: Trojan.PWS.OnLineGames.NSR (BD 引擎)
项目: 8.exe
      检查档案: E:\pic\_PICtemp\Samples.part1.rar
      状态: 发现病毒
      病毒: Trojan.PWS.OnlineGames.NZG (BD 引擎)
项目: 9.exe
      检查档案: E:\pic\_PICtemp\Samples.part1.rar
      状态: 发现病毒
      病毒: Dropped:Generic.Malware.SBdld.87E39999 (BD 引擎)
项目: a11.exe
      检查档案: E:\pic\_PICtemp\Samples.part1.rar
      状态: 疑为病毒
      病毒: BehavesLike:Win32.Malware (BD 引擎)
项目: 1.exe
      检查档案: E:\pic\_PICtemp\Samples.part1.rar
      状态: 发现病毒
      病毒: Dropped:Trojan.PWS.OnlineGames.QZL (BD 引擎)
项目: 10.exe
      检查档案: E:\pic\_PICtemp\Samples.part1.rar
      状态: 发现病毒
      病毒: Dropped:Generic.Malware.SBdld.4459D3D9 (BD 引擎)
项目: 11.exe
      检查档案: E:\pic\_PICtemp\Samples.part1.rar
      状态: 发现病毒
      病毒: Trojan.PWS.OnlineGames.OPH (BD 引擎)
项目: 12.exe
      检查档案: E:\pic\_PICtemp\Samples.part1.rar
      状态: 发现病毒
      病毒: Trojan.PWS.OnlineGames.NZH (BD 引擎)
项目: 13.exe
      检查档案: E:\pic\_PICtemp\Samples.part1.rar
      状态: 发现病毒
      病毒: Trojan.PWS.OnlineGames.NZG (BD 引擎)
项目: 14.exe
      检查档案: E:\pic\_PICtemp\Samples.part1.rar
      状态: 发现病毒
      病毒: Dropped:Trojan.PWS.OnlineGames.OPH (BD 引擎)
项目: 15.exe
      检查档案: E:\pic\_PICtemp\Samples.part1.rar
      状态: 发现病毒
      病毒: Trojan.PWS.OnLineGames.NSR (BD 引擎)
项目: 16.exe
      检查档案: E:\pic\_PICtemp\Samples.part1.rar
      状态: 发现病毒
      病毒: Trojan.PWS.OnLineGames.NSR (BD 引擎)
项目: 17.exe
      检查档案: E:\pic\_PICtemp\Samples.part1.rar
      状态: 发现病毒
      病毒: Trojan.PWS.OnLineGames.NSR (BD 引擎)
项目: 18.exe
      检查档案: E:\pic\_PICtemp\Samples.part1.rar
      状态: 发现病毒
      病毒: Trojan.PWS.Onlinegames.NTA (BD 引擎)
项目: 20.exe
      检查档案: E:\pic\_PICtemp\Samples.part1.rar
      状态: 发现病毒
      病毒: Trojan.PWS.OnLineGames.NSR (BD 引擎)
项目: 21.exe
      检查档案: E:\pic\_PICtemp\Samples.part1.rar
      状态: 发现病毒
      病毒: Generic.PWStealer.98A81098 (BD 引擎)
项目: 22.exe
      检查档案: E:\pic\_PICtemp\Samples.part1.rar
      状态: 发现病毒
      病毒: Trojan.PWS.OnLineGames.NSR (BD 引擎)
项目: 23.exe
      检查档案: E:\pic\_PICtemp\Samples.part1.rar
      状态: 发现病毒
      病毒: Dropped:Generic.Malware.SBdld.4E3D3A37 (BD 引擎)

项目: tmp5.tmp
      检查档案: E:\pic\_PICtemp\Virus.zip
      状态: 发现病毒
      病毒: Generic.Malware.dld!!.D85A7E90 (BD 引擎)
项目: d.exe
      检查档案: E:\pic\_PICtemp\Virus.zip
      状态: 发现病毒
      病毒: DeepScan:Generic.Malware.dld!!.076D581F (BD 引擎)
项目: Virus.zip
      路径: E:\pic\_PICtemp
      状态: 发现病毒
      病毒: Generic.Malware.dld!!.D85A7E90, DeepScan:Generic.Malware.dld!!.076D581F (BD 引擎)
病毒分析完成: 2/25/2008 14:00

[ 本帖最后由 spaceplane 于 2008-2-25 14:33 编辑 ]

显示全部楼层 · 发表于 2008-2-25 14:04:08

Starting the file scan:

Begin scan in 'C:\Documents and Settings\fishx\桌面\Samples[1].part2.rar'
C:\Documents and Settings\fishx\桌面\Samples[1].part2.rar
  [0] Archive type: RAR
  --> 14.exe
   [DETECTION] Is the Trojan horse TR/PSW.OnLineGame.XO
  --> 15.exe
   [DETECTION] Is the Trojan horse TR/Dropper.Gen
  --> 16.exe
   [DETECTION] Is the Trojan horse TR/PSW.OnlineGames.rsl.1
  --> 17.exe
   [DETECTION] Is the Trojan horse TR/PSW.OnlineGames.rmg.2
  --> 18.exe
   [DETECTION] Is the Trojan horse TR/Dropper.Gen
  --> 2.exe
   [DETECTION] Is the Trojan horse TR/Crypt.FKM.Gen
  --> 20.exe
   [DETECTION] Is the Trojan horse TR/PSW.OnlineGames.rmx.3
  --> 21.exe
   [DETECTION] Contains detection pattern of the worm WORM/Autorun.FF.30
  --> 22.exe
   [DETECTION] Is the Trojan horse TR/PSW.OnlineGames.NSR.308
  --> 23.exe
   [DETECTION] Is the Trojan horse TR/PSW.OnlineGames.qjz.3
  --> 25.exe
   [DETECTION] Is the Trojan horse TR/Agent.fqd.12
   [INFO]    The file was moved to '482f5a82.qua'!

显示全部楼层 · 发表于 2008-2-25 14:04:30

scs316全部干掉

显示全部楼层 · 发表于 2008-2-25 14:04:39

Starting the file scan:

Begin scan in 'C:\Documents and Settings\fishx\桌面\Samples[1].part1.rar'
C:\Documents and Settings\fishx\桌面\Samples[1].part1.rar
  [0] Archive type: RAR
  --> 29.exe
   [DETECTION] Contains suspicious code HEUR/Malware
  --> 3.exe
   [DETECTION] Is the Trojan horse TR/PSW.OnLineGame.XO
  --> 30.exe
   [DETECTION] Is the Trojan horse TR/PSW.OnlineGames.ppu
  --> 4.exe
   [DETECTION] Is the Trojan horse TR/PSW.OnlineGames.rdf.1
  --> 5.exe
   [DETECTION] Is the Trojan horse TR/Drop.Agent.12272
  --> 7.exe
   [DETECTION] Is the Trojan horse TR/Dropper.Gen
  --> 8.exe
   [DETECTION] Is the Trojan horse TR/PSW.OnlineGames.rjh
  --> 9.exe
   [DETECTION] Is the Trojan horse TR/PSW.OnlineGames.rdx
  --> a11.exe
   [DETECTION] Is the Trojan horse TR/Agent.114688.C
  --> f.exe
   [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
  --> k.exe
   [DETECTION] Contains code of the Windows virus W32/Downloader.J
  --> s.exe
   [DETECTION] Is the Trojan horse TR/Crypt.XPACK.Gen
  --> 10.exe
   [DETECTION] Is the Trojan horse TR/Drop.Agent.12389
  --> 11.exe
   [DETECTION] Is the Trojan horse TR/PSW.OnLineGame.XO
  --> 12.exe
   [DETECTION] Is the Trojan horse TR/WuDisable.B
   [INFO]    The file was moved to '482f5aa0.qua'!

End of the scan: 2008年2月25日星期一  14:03
Used time: 00:02 min

The scan has been done completely.

   0 Scanning directories
   18 Files were scanned
   14 viruses and/or unwanted programs were found
   1 Files were classified as suspicious:
   0 files were deleted
   0 files were repaired
   1 files were moved to quarantine
   0 files were renamed
   0 Files cannot be scanned
   4 Files not concerned
   1 Archives were scanned
   0 Warnings
   0 Notes

显示全部楼层 · 发表于 2008-2-25 14:05:16

NOD 29

已扫描的磁盘，文件夹及文件：E:\pic\_PICtemp\application.zip; E:\pic\_PICtemp\Virus.zip; E:\pic\_PICtemp\Samples\
E:\pic\_PICtemp\application.zip >>ZIP >>Infected_FoxPlus.exe - 未查明的 NewHeur_PE 病毒 [7]
E:\pic\_PICtemp\Virus.zip >>ZIP >>pop.sys - Win32/TrojanDownloader.Small.NZS 木马
E:\pic\_PICtemp\Virus.zip >>ZIP >>tmp5.tmp - Win32/TrojanDownloader.Small.NZK 木马
E:\pic\_PICtemp\Virus.zip >>ZIP >>ctfmon.exe - Win32/TrojanDownloader.Small.NZK 木马
E:\pic\_PICtemp\Virus.zip >>ZIP >>d.exe - Win32/TrojanDownloader.Small.NZS 木马
E:\pic\_PICtemp\Samples\29.exe - Win32/PSW.OnLineGames.PBQ 木马的变种
E:\pic\_PICtemp\Samples\3.exe - Win32/PSW.OnLineGames.GJV 木马的变种
E:\pic\_PICtemp\Samples\30.exe - Win32/TrojanDownloader.Small.NZS 木马
E:\pic\_PICtemp\Samples\4.exe - Win32/PSW.OnLineGames.NLY 木马的变种
E:\pic\_PICtemp\Samples\5.exe - Win32/PSW.OnLineGames.PBQ 木马的变种
E:\pic\_PICtemp\Samples\7.exe - Win32/PSW.OnLineGames.NFL 木马的变种
E:\pic\_PICtemp\Samples\8.exe - Win32/PSW.OnLineGames.MUG 木马
E:\pic\_PICtemp\Samples\9.exe - Win32/PSW.OnLineGames.PBQ 木马
E:\pic\_PICtemp\Samples\a11.exe - Win32/NetTool.Agent.NAA 应用程序
E:\pic\_PICtemp\Samples\1.exe - 可能是 Win32/Genetik 木马的一个变种
E:\pic\_PICtemp\Samples\10.exe - Win32/PSW.OnLineGames.PBQ 木马的变种
E:\pic\_PICtemp\Samples\11.exe - Win32/PSW.OnLineGames.GJV 木马的变种
E:\pic\_PICtemp\Samples\12.exe - Win32/PSW.OnLineGames.FDY 木马
E:\pic\_PICtemp\Samples\13.exe - Win32/PSW.OnLineGames.MUG 木马的变种
E:\pic\_PICtemp\Samples\14.exe - Win32/PSW.OnLineGames.GJV 木马的变种
E:\pic\_PICtemp\Samples\15.exe - 可能是 Win32/PSW.OnLineGames.NFL 木马的一个变种
E:\pic\_PICtemp\Samples\16.exe - Win32/PSW.OnLineGames.NFL 木马的变种
E:\pic\_PICtemp\Samples\17.exe - 可能是 Win32/PSW.OnLineGames.NFL 木马的一个变种
E:\pic\_PICtemp\Samples\18.exe - Win32/PSW.OnLineGames.NFL 木马的变种
E:\pic\_PICtemp\Samples\20.exe - Win32/PSW.OnLineGames.NFL 木马的变种
E:\pic\_PICtemp\Samples\21.exe - 可能是 Win32/AutoRun.Q 蠕虫的一个变种
E:\pic\_PICtemp\Samples\22.exe - Win32/PSW.OnLineGames.NFL 木马的变种
E:\pic\_PICtemp\Samples\23.exe - Win32/PSW.OnLineGames.PBQ 木马的变种
E:\pic\_PICtemp\Samples\25.exe - Win32/PSW.OnLineGames.NML 木马的变种
已扫描的文件数目：39
已发现的病毒数目：29
完成时间： 14:04:55 总扫描时间：8 秒 (00:00:08)

显示全部楼层 · 发表于 2008-2-25 14:07:20

伞8v4 36
就帖感染2包
Begin scan in 'E:\pic\_PICtemp\application.zip'
Begin scan in 'E:\pic\_PICtemp\Virus.zip'
E:\pic\_PICtemp\Virus.zip
  [0] Archive type: ZIP
  --> pop.sys
   [DETECTION] Is the Trojan horse TR/PSW.OnlineGames.ppu.1
  --> tmp5.tmp
   [DETECTION] Is the Trojan horse TR/Agent.8192.224
  --> ctfmon.exe
   [DETECTION] Is the Trojan horse TR/Agent.8192.224
  --> d.exe
   [DETECTION] Is the Trojan horse TR/PSW.OnlineGames.ppu

[ 本帖最后由 spaceplane 于 2008-2-25 14:18 编辑 ]

显示全部楼层 · 发表于 2008-2-25 14:13:38

37个怎么来的… 总共也才34个文件 33个病毒…

显示全部楼层 · 发表于 2008-2-25 14:13:43

瑞星病毒查杀结果报告

清除病毒种类列表：
病毒： Trojan.PSW.Win32.GameOL.lxg
病毒： Trojan.PSW.Win32.OnlineGames.GEN
病毒： Trojan.PSW.Win32.GameOL.GEN
病毒： Trojan.PSW.Win32.GamesOnline.oa
病毒： Trojan.PSW.Win32.GameOL.GEN
病毒： Trojan.PSW.Win32.GameOL.mau
病毒： Trojan.PSW.Win32.GameOL.lzp
病毒： Trojan.Win32.Undef.ayo
病毒： Worm.Win32.VB.zap
病毒： Trojan.PSW.Win32.SunOnline.ma
病毒： Trojan.PSW.Win32.GameOL.lhu
病毒： Trojan.PSW.Win32.GameOL.GEN
病毒： Trojan.PSW.Win32.QQGame.GEN
病毒： Worm.Win32.PaBug.get
病毒： Trojan.PSW.Win32.QQGame.GEN
病毒： Trojan.PSW.Win32.GameOL.lzq
病毒： Trojan.PSW.Win32.GameOL.lzs

用户来源：互联网

软件版本：20.33

22个

[病毒样本] 感染型+机器狗无敌了

本帖子中包含更多资源

回复 8楼 spaceplane 的帖子

[病毒样本] 感染型+机器狗 无敌了

本帖子中包含更多资源

回复 8楼 spaceplane 的帖子

[病毒样本] 感染型+机器狗无敌了