收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 zolb下载物 基本全免杀
12下一页
返回列表 发新帖
查看: 3229|回复: 11
收起左侧

[病毒样本] zolb下载物 基本全免杀

[复制链接]
九尾野狐
头像被屏蔽
发表于 2008-8-1 21:29:42 | 显示全部楼层 |阅读模式
病毒名称: AntiVir: -
                    Kaspersky: -
                NOD32v2:-  
                Rising: -
VT查杀率:4/36 (11.12%)


EQS  Lab编号:080801007
病毒大小: 43.8 KB (44,928 字节)
MD5码: 2C904C1ECA0211E97C270C38AC6B8F9C
病毒类型: 特洛伊木马
主要传播方式: 网络
测试平台: WinXP SP3系统 (默认Shell为BBlean) EQSecurity(HIPS) 实机
危害程度:





bindsrv2.exe.bat内容

C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\bindsrv2.exe


浏览器执行bindsrv2.exe.bat后便会调用bindsrv2.exe


运行后会向system32创建dll文件

2008-08-01 19:52:57 创建文件
进程路径:F:\Once\kav\bindsrv2.exe
文件路径:C:\windows\system32\jkkHWQjh.dll
触发规则:所有程序规则->File Rule->?:\*.dll

2008-08-01 19:52:57 创建文件
进程路径:F:\Once\kav\bindsrv2.exe
文件路径:C:\windows\system32\awtutqpQ.dll
触发规则:所有程序规则->File Rule->?:\*.dll


修改winlogon.exe进程内存 企图控制

2008-08-01 19:52:57 修改其它进程内存
进程路径:F:\Once\kav\bindsrv2.exe
目标进程:C:\windows\system32\winlogon.exe
触发规则:所有程序规则->Process protect rule->%windir%\system32\winlogon.exe



安装全局钩子

2008-08-01 19:53:05 安装全局钩子
进程路径:F:\Once\kav\bindsrv2.exe
文件路径:C:\windows\system32\jkkHWQjh.dll
钩子类型:WH_GETMESSAGE
触发规则:所有程序规则->Block APP Run->%windir%\*



以命令行调用rundll32.exe

2008-08-01 19:53:16 运行应用程序
进程路径:F:\Once\kav\bindsrv2.exe
文件路径:C:\windows\system32\rundll32.exe
命令行:C:\windows\system32\awtutqpQ.dll,a
触发规则:所有程序规则->Block APP Run->%windir%\*



创建bat

2008-08-01 19:53:16 创建文件
进程路径:F:\Once\kav\bindsrv2.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\removalfile.bat
触发规则:应用程序规则->自动创建规则->F:\Once\kav\bindsrv2.exe->C:\Documents and Settings\Administrator\Local Settings\Temp\*.bat


bat内容

@echo off
:df
del %1
if exist %1 goto df



创建ShellExecuteHooks启动项

2008-08-01 19:53:16 创建注册表值
进程路径:C:\windows\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks
注册表名称:{3AC39A8C-96D8-412B-91A5-1D47EEAA8D06}
触发规则:所有程序规则->Explorer Option->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks*



创建启动项

2008-08-01 19:53:17 创建注册表值
进程路径:C:\windows\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\awtutqpQ
注册表名称:[Key]
触发规则:所有程序规则->WinLogon->*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon*




关键行为:

向system32目录创建dll文件

修改winlogon.exe进程内存

安装全局钩子

以命令行调用rundll32.exe




HIPS防范对策:


阻止陌生程序向system32目录创建dll文件

阻止陌生程序修改winlogon.exe进程内存

阻止陌生程序安装全局钩子

阻止陌生程序以命令行调用rundll32.exe

阻止陌生程序创建创建ShellExecuteHooks、Winlogon\Notify启动项




==========================================


VT扫描结果


4/36 (11.12%)


VT扫描结果


4/36 (11.12%)

VT扫描结果


4/36 (11.12%)




AhnLab-V3 2008.7.29.1 2008.08.01 -
AntiVir 7.8.1.15 2008.08.01 -
Authentium 5.1.0.4 2008.07.31 -
Avast 4.8.1195.0 2008.07.31 -
AVG 8.0.0.156 2008.08.01 -
BitDefender 7.2 2008.08.01 -
CAT-QuickHeal 9.50 2008.07.31 (Suspicious) - DNAScan
ClamAV 0.93.1 2008.08.01 -
DrWeb 4.44.0.09170 2008.08.01 -
eSafe 7.0.17.0 2008.07.29 Suspicious File
eTrust-Vet 31.6.5999 2008.07.31 -
Ewido 4.0 2008.08.01 -
F-Prot 4.4.4.56 2008.07.31 -
F-Secure 7.60.13501.0 2008.08.01 -
Fortinet 3.14.0.0 2008.08.01 -
GData 2.0.7306.1023 2008.08.01 -
Ikarus T3.1.1.34.0 2008.08.01 -
K7AntiVirus 7.10.399 2008.07.31 -
Kaspersky 7.0.0.125 2008.08.01 -
McAfee 5351 2008.07.31 -
Microsoft 1.3704 2008.07.28 -
NOD32v2 3317 2008.08.01 -
Norman 5.80.02 2008.08.01 -
Panda 9.0.0.4 2008.08.01 -
PCTools 4.4.2.0 2008.08.01 -
Prevx1 V2 2008.08.01 -
Rising 20.55.42.00 2008.08.01 -
Sophos 4.31.0 2008.08.01 -
Sunbelt 3.1.1537.1 2008.08.01 VIPRE.Suspicious
Symantec 10 2008.08.01 -
TheHacker 6.2.96.391 2008.07.31 -
TrendMicro 8.700.0.1004 2008.08.01 -
VBA32 3.12.8.2 2008.08.01 -
ViRobot 2008.8.1.1321 2008.08.01 -
VirusBuster 4.5.11.0 2008.07.31 -
Webwasher-Gateway 6.6.2 2008.08.01 Win32.Malware.gen!90 (suspicious)

[ 本帖最后由 没注册 于 2008-8-1 21:32 编辑 ]
回复

举报

wangjay1980
发表于 2008-8-1 21:37:58 | 显示全部楼层
很逊
回复

举报

woai_jolin
发表于 2008-8-1 21:52:34 | 显示全部楼层
2008-8-1 21:51:21        Kernel        File  'G:\v\bindsrv2.exe' was sent to ESET for analysis.
回复

举报

28654621
头像被屏蔽
发表于 2008-8-1 21:59:14 | 显示全部楼层
危险进程(PID:1608): D:\Sandbox\Administrator\Virus\user\current\Local Settings\Temp\Rar$EX00.469\bindsrv2.exe

产品名称: 无
文件版本: 无
公司名称: 无
文件描述: 无
数字签名: 没有发现签名

危险级别: 中
级别评分: 46.18880
状态: 进程已被结束,但还没有清除,等待进一步处理。

在线扫描发现它不是有害程序,但这并不能肯定此文件是百分之百安全的。你可以信任它,但如果你认为它是不可信的也可以删除它。
回复

举报

Kitman
发表于 2008-8-1 21:59:51 | 显示全部楼层
The file 'bindsrv2.exe' has been determined to be 'UNDER ANALYSIS'.
回复

举报

twtpy93123
发表于 2008-8-1 22:01:34 | 显示全部楼层
同上
回复

举报

鱼怪
发表于 2008-8-1 22:02:29 | 显示全部楼层
怎么还加密了,打不开
回复

举报

lsyer
发表于 2008-8-1 22:18:55 | 显示全部楼层
还是TF比较合理
提示合理
我放到5、6步后再砍的 然后回滚
很符合正常情况下的操作情况~
回复

举报

hj5abc
发表于 2008-8-2 00:05:20 | 显示全部楼层
没注册 写的很详细.

阻止陌生程序创建创建ShellExecuteHooks、Winlogon\Notify启动项


这个应该可以通过设置注册表权限防住..
回复

举报

xxx1900
发表于 2008-8-2 00:18:45 | 显示全部楼层
kav700125检测未发现威胁,还不认识
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-5-7 17:13 , Processed in 0.134676 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表