查看: 2694|回复: 10
收起左侧

[病毒样本] 一个老病毒正肆虐单位局域网,大神来行为分析!~

[复制链接]
liumtz
发表于 2017-12-27 18:43:41 | 显示全部楼层 |阅读模式
还是上传不了附件了!!!
只好放百度网盘里了。。。
https://pan.baidu.com/s/1qXAoSzi
Jerry.Lin
发表于 2017-12-27 19:11:28 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
lycys
发表于 2017-12-27 19:50:49 | 显示全部楼层
一旦执行,蠕虫会删除以下文件:              %windir% \ linkinfo.dll              %系统% \司机\ riodrvs.sys              %系统% \司机\ dkis6.sys              它创建以下注册表项以注册服务:              hkey_local_machine \系统\ CurrentControlSet \服务\ riodrvs              该服务具有以下特性:              显示名称:riodrvs USB驱动程序              图片路径:%系统% \司机\ riodrvs.sys              然后,蠕虫删除以下文件:              % % \系统\ linkinfo.dll dllcache              %系统% \ System32 \ linkinfo.dll              然后创建下面的互斥锁,这样每次只能在机器上运行一个蠕虫实例:              __dl_core_mutex__              蠕虫试图结束下面的进程并删除相关文件:              realschd.exe              cmdbcs.exe              wsvbs.exe              msdccrt.exe              run1132.exe              sysload3.exe              tempicon.exe              sysbmw.exe              rpcs.exe              msvce32.exe              rundl132.exe              svhost32.exe              smss.exe              lsass.exe              internat.exe              资源管理器              ctmontv.exe              进程名              ncscv32.exe              spo0lsv.exe              wdfmgr32.exe              upxdnd.exe              ssopure.exe              iexpl0re.exe              c0nime.exe              svch0st.exe              nvscv32.exe              spoclsv.exe              fuckjacks.exe              logo_1.exe              logo1_ .exe              lying.exe              sxs.exe              它不会终止进程或删除位于目录中的文件,其名称包含以下字符串:              窗户              WinNT              通用域名格式              系统              程序文件              蠕虫本身注入到iexplore.exe过程。              然后,它试图在受感染的计算机上感染所有可执行文件,除了以下名称的文件:              wooolcfg.exe              woool.exe              ztconfig.exe              patchupdate.exe              trojankiller.exe              xy2player.exe              flyff.exe              xy2.exe              的文件。              au_unins_web.exe              cabal.exe              cabalmain9x.exe              cabalmain.exe              meteor.exe              patcher.exe              mjonline.exe              config.exe              zuonline.exe              userpic.exe              main.exe              dk2.exe              autoupdate.exe              dbfsupdate.exe              asktao.exe              sealspeed.exe              xlqy2.exe              名称              wb-service.exe              nbt-dragonraja2006.exe              dragonraja.exe              mhclient-connect.exe              hs.exe              mts.exe              gc.exe              zfs.exe              neuz.exe              maplestory.exe              nsstarter.exe              nmcosrv.exe              ca.exe              nmservice.exe              kartrider.exe              audition.exe              zhengtu.exe              然后,蠕虫使用用户名“管理员”和下列密码之一枚举网络共享:              zxcv              qazwsx              QAZ              QWER              !“# $ % ^ & *()              !@ $ % & *(^ #              !“# ^ & * $ %              !“# ^ & $ %              !“# $ % ^              !“# $ %              asdfgh              航空自卫队              !“#美元              六十五万四千三百二十一              十二万三千四百五十六              一万二千三百四十五              一千二百三十四              一百二十三              一百一十一              一              管理员              一旦建立起连接,该蠕虫病毒本身为C $ \ ins.exe和运行具有以下特点的服务:              服务名称:多兰              显示名称:多兰              它与下面的Web站点联系,通知远程攻击者受损计算机已被感染:              http://tj.imrw0rldwide.com/co.asp?action =数据和数据              它接触以下URL以接收配置信息:              http://soft.imrw0rldwide.com/z.dat              建议              赛门铁克安全响应鼓励所有用户和管理员遵守以下基本安全“最佳实践”:              使用防火墙将所有从Internet传入的连接阻塞到不应该公开可用的服务中。默认情况下,您应该拒绝所有传入的连接,只允许您明确希望提供给外部世界的服务。              执行密码策略。复杂的密码使破解计算机上的密码文件变得困难。这有助于防止或限制计算机受到损害时的损害。              确保计算机的程序和用户使用完成任务所需的最低级别的权限。当根或UAC密码提示,确保该程序要求行政级别的访问是一个合法的应用程序。              禁用自动播放功能,以防止网络和可移动驱动器可执行文件的自动启动,并断开驱动器时不需要。如果不需要写访问,如果选项可用,则启用只读模式。              如果不需要,关闭文件共享。如果需要共享文件,使用ACL和密码保护,限制访问。禁用对共享文件夹的匿名访问。仅授予对必须共享的文件夹具有强密码的用户帐户。              关闭和删除不必要的服务。默认情况下,许多操作系统安装不是关键的辅助服务。这些服务是进攻的途径。如果它们被移除,威胁就没有那么多攻击的途径了。              如果一个威胁利用一个或多个网络服务,禁用或阻止对这些服务的访问,直到应用补丁为止。              始终保持最新的补丁级别,特别是在承载公共服务的计算机上,并通过防火墙访问,如HTTP、FTP、邮件和DNS服务。              配置电子邮件服务器以阻止或删除电子邮件,其中包含文件附件通常用来传播的威胁,如.vbs、.bat、.exe、PIF、SCR文件。              迅速隔离受损计算机以防止威胁进一步扩散。执行可信分析并使用可信介质还原计算机。              培训员工不要打开附件,除非他们正在等待
lycys
发表于 2017-12-27 19:51:43 | 显示全部楼层
铁壳给的病毒分析
pal家族
发表于 2017-12-27 19:59:49 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
Eset小粉絲
发表于 2017-12-27 20:17:42 | 显示全部楼层

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
adminh
发表于 2017-12-27 20:20:41 | 显示全部楼层
打不开?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
liumtz
 楼主| 发表于 2017-12-28 09:09:50 | 显示全部楼层

?工具名称:“马吉斯(Worm.Magistr)”病毒专杀工具
?软件版本:1.0
?软件大小:320KB
?应用平台:Windows平台
?更新时间:2008-07-01
?发布时间:2007-06-12
?发布公司:北京瑞星信息技术有限公司


病毒名称: Worm.Magistr.g

病毒是由C语言编写的感染型病毒,感染后缀名为EXE的32位PE可执行程序,病毒源的大小为40KB。

病毒源文件为boot.exe,由用户从U盘上提取。

病毒源文件流程:

boot.exe运行后检查自己是否在驱动器根目录下,如不是退出。

检查是否存在"C:\WINNT\linkinfo.dll",如果不存在则建立该文件。
检查驱动文件是否存在,如不存在则生成驱动文件%SystemRoot%\system32\drivers\IsDrv118.sys(加载后删除),并调用ZwSetSystemInformation加载驱动。

装载该dll,然后查找病毒调用序号为101的导出函数。
kaba666
发表于 2017-12-28 10:44:06 | 显示全部楼层
卡巴秒杀!
XZ8SM7Sx0bVkoUV
发表于 2017-12-28 12:31:33 | 显示全部楼层
火绒

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 14:13 , Processed in 0.137264 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表