新出RSVS.pif病毒+分析

maztgo

从百度搜索不到RSVS.pif的信息，看来是新病毒，我来分析一下咯！
改程序加壳：nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping（PEiD扫描结果）
RSVS.pif其实是标准的exe程序，将其扩展名更改为exe可以发现它的描述是Windows Update Manager for NT，公司为Microsoft Corporation，图标就是wuauclt.exe的图标，显然，它使用Windows升级程序wuauclt.exe的程序资源段进行的全副武装。
RSVS.pif运行后（RSVS.exe同样可以运行，效果肯定是完全相同的）做了这几件事：
1、向system32写入wuauclt.exe文件，也就是替换了系统的自动更新程序
2、向dllcache也写入wuauclt.exe文件，这样系统就无法还原正确的系统文件了。让我惊奇的是，它对系统程序的替换并没有惊动sfc——也就是说没有弹出系统文件被替换的窗口，连csrss.exe都骗过了，做的很绝。
3、在drivers创建beep.sys驱动，它修改系统时间为2004年，很多杀毒软件都会因为时间不正确而无法正常工作，比如卡巴就会弹出激活文件提示、nod32直接退出。
4、向C盘写入lo.tmp文件（经校验md5发现和RSVS.pif内容完全相同），向所有分区下复制RSVS.pif文件，并生成autorun.inf文件，其内容为：
[AutoRun]
shell\open=打开(&O)
shell\open\Command=RSVS.PIF
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=RSVS.PIF
这是很典型的U盘病毒行为了，通过autorun.inf使原本由explorer.exe打开的资源管理器就由RSVS.PIF接管了，当双击或者在资源管理器中打开某一分区时，病毒运行，并在新窗口打开该分区，这是病毒的一个bug了，在新窗口打开分区会使用户感到不对劲的，建议病毒作者再学习一下explorer的调用参数，不要在新窗口打开资源管理器了（哈哈，我开玩笑的）。
5、反查杀手段：破坏注册表，无法显示隐藏文件和系统文件（注意我在1、2、3、4中提到的病毒所产生的文件全部具有系统、隐藏属性）；禁用注册表（其实将regedit.exe改名为regedit.com照样用），病毒在启动目录下产生了一个4.pif文件，一看就知道是病毒，文件名很可能是随机的，病毒用这么笨的手段自动运行，搞笑；禁用使用系统实用配置程序，当在运行msconfig时显示文件正被其他程序使用；360安全卫士无法安装（看样是国产病毒哦），其他杀毒软件很可能也无法安装……

下面是VirSCAN.org的杀毒报告：
VirSCAN.org Scanned Report :
Scanned time   : 2008/08/18 02:06:50 (CST)
Scanner results: 36%的杀软(13/36)报告发现病毒
File Name      : RSVS.PIF
File Size      : 14210 byte
File Type      : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5            : 065a5e830b2f6c44f330239475ae3cae
SHA1           : 43f3910b80273db6282a5be32d448a79fc466dc5
Online report : http://virscan.org/report/20f83ca96320ad8afd4ac575455fcccd.html
Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      3.5.0.22        2008.08.17        2008-08-17 14.48 -
安博士V3       2008.08.15.00   2008.08.15        2008-08-15 0.97   -
AntiVir        7.8.1.19        7.0.6.24          2008-08-16 2.31   TR/Crypt.FKM.Gen
Arcavir        1.0.5           200808161418      2008-08-16 1.19   -
AVAST!         3.0.1           080817-0          2008-08-17 0.01   -
AVG            7.5.51.442      270.6.4/1617      2008-08-17 1.99   -
BitDefender    7.60825.1555604 7.20558           2008-08-18 2.85   Win32.Worm.Autorun.LW
CA (VET)       9.0.0.143       31.6.6035         2008-08-15 14.93 -
ClamAV         0.93.3          8051              2008-08-16 0.01   -
Comodo         2.11            2.0.0.619         2008-08-17 0.93   -
CP Secure      1.1.0.715       2008.08.18        2008-08-18 6.13   -
Dr.Web         4.44.0.9170     2008.08.17        2008-08-17 3.11   Trojan.Packed.152
ewido          4.0.0.2         2008.08.17        2008-08-17 4.61   -
F-Prot         4.4.4.56        20080817          2008-08-17 1.27   W32/OnlineGames.A.gen!GSA (generic, not disinfectable)
F-Secure       5.51.6100       2008.08.17.01     2008-08-17 0.04   -
飞塔           2.81-3.11       9.436             2008-08-18 2.66   Suspicious
ViRobot        20080816        2008.08.16        2008-08-16 1.04   -
Ikarus         T3.1.01.34      2008.08.17.71291 2008-08-17 3.40   Backdoor.Win32.Agent.ahj
江民杀毒       11.0.706        2008.08.17        2008-08-17 1.37   -
卡巴斯基       5.5.10          2008.08.17        2008-08-17 0.03   -
金山毒霸       2008.1.14.15    2008.8.17.15      2008-08-17 6.91   Win32.Troj.Downloader.if.58880
迈克菲         5.2.00          5362              2008-08-15 2.55   New Malware.dw
Microsoft      1.3807          2008.08.17        2008-08-17 10.37 -
mks_vir        2.01            2008.08.17        2008-08-17 2.62   -
Norman         5.93.01         5.93.00           2008-08-15 4.83   W32/Hupigon.gen67
熊猫卫士       9.05.01         2008.08.17        2008-08-17 8.58   -
趋势科技       8.700-1004      5.482.22          2008-08-17 0.03   -
Quick Heal     9.50            2008.08.16        2008-08-16 5.24   Win32.Packed.Klone.ap03
瑞星           20.0            20.57.62.00       2008-08-17 3.51   -
Sophos         2.77.0          4.32              2008-08-18 2.02   Mal/Behav-204
Sunbelt        3.1.1546.1      2193              2008-08-14 2.19   VIPRE.Suspicious
赛门铁克       1.3.0.24        20080817.003      2008-08-17 2.25   -
nProtect       2008-08-14.01   1801264           2008-08-14 12.60 -
The Hacker     6.2.96          v00396            2008-08-11 1.05   W32/Behav-Heuristic-067
VBA32          3.12.8.3        20080816.1123     2008-08-16 1.15   -
VirusBuster    4.5.11.10       10.84.3/598170    2008-08-17 0.86   -
看来金山挺争气的，卡巴、瑞星、江民都不吱声啦。
至于如何杀毒，自己想想办法吧，看起来不难吧（今天很晚了，不想分析了），如果你不想动脑筋，那就用金山或者大蜘蛛杀杀毒吧。

黑色虾米

2008-8-18 6:43:36,Trojan.Cap873011.ltzi,木马,show,C:\Documents and Settings\Administrator\桌面\RSVS.PIF,Realtime scan

费尔实力

tcgg1983

请问一下，运行时候卡巴也没有任何提示嘛，扫描不到不代表就能在装卡巴的电脑上面任意的运行
3、在drivers创建beep.sys驱动，它修改系统时间为2004年，很多杀毒软件都会因为时间不正确而无法正常工作，比如卡巴就会弹出激活文件提示、nod32直接退出。
  这一点对卡巴无效，卡巴7.0.1.325及其更高版本免疫时间问题了

文件 RSVS.rar 接收于 2008.08.18 01:04:54 (CET)

结果: 2/36 (5.56%)

正在读取服务器信息中...
您的文件所排队列位置: ___.
预计开始时间为 ___ 和 ___
之间.
扫描完成前请勿关闭窗口.
目前针对您的文件所进行的扫描进程已停止, 我们将会在稍后恢复.
如果您的等候时间超过 5 分钟, 请重新发送文件.
您的文件目前正在被 VirusTotal 扫描中,
结果将会稍后完成时生成.

格式化文本
打印结果

您的文件已过期或不存在.
目前服务已停止, 您的文件将会稍后的未知时间内进行扫描 (位置:
). 您可以继续等待回应 (自动读取) 或者在下面的表单内输入您的电子邮件地址, 并按下 "获取", 当扫描完成时, 系统会自动给您发送电子邮件通知.  

Email:

反病毒引擎	版本	最后更新	扫描结果
AhnLab-V3	2008.8.15.0	2008.08.15	-
AntiVir	7.8.1.19	2008.08.16	-
Authentium	5.1.0.4	2008.08.17	-
Avast	4.8.1195.0	2008.08.17	-
AVG	8.0.0.161	2008.08.17	-
BitDefender	7.2	2008.08.18	-
CAT-QuickHeal	9.50	2008.08.16	-
ClamAV	0.93.1	2008.08.16	-
DrWeb	4.44.0.09170	2008.08.17	-
eSafe	7.0.17.0	2008.08.17	-
eTrust-Vet	31.6.6035	2008.08.15	-
Ewido	4.0	2008.08.17	-
F-Prot	4.4.4.56	2008.08.17	-
F-Secure	7.60.13501.0	2008.08.17	-
Fortinet	3.14.0.0	2008.08.17	-
GData	2.0.7306.1023	2008.08.17	-
Ikarus	T3.1.1.34.0	2008.08.17	-
K7AntiVirus	7.10.417	2008.08.15	-
Kaspersky	7.0.0.125	2008.08.18	-
McAfee	5362	2008.08.15	-
Microsoft	1.3807	2008.08.18	-
NOD32v2	3362	2008.08.17	the file is probably password protected.
Norman	5.80.02	2008.08.15	-
Panda	9.0.0.4	2008.08.17	-
PCTools	4.4.2.0	2008.08.17	-
Prevx1	V2	2008.08.18	-
Rising	20.57.62.00	2008.08.17	-
Sophos	4.32.0	2008.08.17	-
Sunbelt	3.1.1546.1	2008.08.15	<Encrypted Archive>
Symantec	10	2008.08.17	-
TheHacker	6.3.0.3.052	2008.08.17	-
TrendMicro	8.700.0.1004	2008.08.16	-
VBA32	3.12.8.3	2008.08.17	-
ViRobot	2008.8.16.1338	2008.08.16	-
VirusBuster	4.5.11.0	2008.08.17	-
Webwasher-Gateway	6.6.2	2008.08.18	-

附加信息

File size: 11924 bytes

MD5...: cb013e90137927eb7253ba1fe2392a9d

SHA1..: d54debe69dfc33dc3a37c46992ed8086adeddc58

SHA256: bbc8ef10ed0173f6d4e8b45616ef821fa52ab2f910ac7583149b134a952c6038

SHA512: 7645ec65ec56fda272a9dbf44f90c398fa23dc59925d49f2a8a6b082bd336c88 f95bbc393e9e517998685b80c9ec11ea7191387263df906f3396badd35abad8e

PEiD..: -

PEInfo: -

[ 本帖最后由 tcgg1983 于 2008-8-18 07:07 编辑 ]

woai_jolin

有密码

sbbdms

怎么不提供密码啊，猜测几下猜出来了，密码123
卡巴今早杀了
已删除：病毒 Worm.Win32.AutoRun.lqw        文件　: D:\软件\其它\v\k\new\1\RSVS\RSVS.PIF

wusuobuzai

有密码,都不能查杀?

sltgr

2008/8/18 8:43:21        Detected: Heur.Trojan.Generic        C:\Users\AXO\Downloads\RSVS\RSVS.PIF               
昨天15點的病毒庫

maztgo

密码是 123，在压缩包里有注释的。
卡巴6病毒库在14日时不能杀掉，升级到18日5点就能了，卡巴反应真快！[:27:]

kiki

貌似不弹出系统文件被替换的不是很难吧～～～

电影结束了

看见有个家伙报了鸽子