新出RSVS.pif病毒+分析

hzyw

avast! 能杀了

尤金卡巴斯基

2008/8/18 23:33:49        已删除        病毒 Worm.Win32.AutoRun.lqw        G:\Temp\Virus\RSVS\RSVS.PIF

fireworld

关闭系统文件保护貌似只需要一个简单的操作网上源代码一堆 ^_^

dl123100

伪造数字签名 清理助手已经能清理了 不过感染系统文件就只有手动修复了

九尾野狐

这个病毒以前叫MSDOS

现在改了名字了……

但行为都是一模一样的


可以对比下


病毒行为：

运行后会以命令行调用explorer

2008-07-19 21:49:16    运行应用程序     
进程路径:F:\Once\2\update.EXE
文件路径:C:\windows\Explorer.exe
命令行:/idlist,:228:924,F:\
触发规则:所有程序规则->Process protect rule->%windir%\Explorer.EXE

修改系统时间

2008-07-19 21:49:22    修改系统时间   
进程路径:F:\Once\2\update.EXE
更改后系统时间:2004-7-19 13:49
触发规则:所有程序规则->*

以命令行运行cacls.exe

2008-07-19 21:49:26    运行应用程序      
进程路径:F:\Once\2\update.EXE
文件路径:C:\windows\system32\cacls.exe
命令行:c:\windows\system32\packet.dll /e /p everyone:f
触发规则:所有程序规则->Block APP Run->%windir%\*

2008-07-19 21:49:28    运行应用程序      
进程路径:F:\Once\2\update.EXE
文件路径:C:\windows\system32\cacls.exe
命令行:c:\windows\system32\pthreadVC.dll /e /p everyone:f
触发规则:所有程序规则->Block APP Run->%windir%\*

2008-07-19 21:49:29    运行应用程序      
进程路径:F:\Once\2\update.EXE
文件路径:C:\windows\system32\cacls.exe
命令行:c:\windows\system32\wpcap.dll /e /p everyone:f
触发规则:所有程序规则->Block APP Run->%windir%\*

2008-07-19 21:49:30    运行应用程序      
进程路径:F:\Once\2\update.EXE
文件路径:C:\windows\system32\cacls.exe
命令行:c:\windows\system32\drivers\npf.sys /e /p everyone:f
触发规则:所有程序规则->Block APP Run->%windir%\*

2008-07-19 21:49:32    运行应用程序      
进程路径:F:\Once\2\update.EXE
文件路径:C:\windows\system32\cacls.exe
命令行:c:\windows\system32\npptools.dll /e /p everyone:f
触发规则:所有程序规则->Block APP Run->%windir%\*

2008-07-19 21:49:33    运行应用程序      
进程路径:F:\Once\2\update.EXE
文件路径:C:\windows\system32\cacls.exe
命令行:c:\windows\system32\drivers\acpidisk.sys /e /p everyone:f
触发规则:所有程序规则->Block APP Run->%windir%\*

2008-07-19 21:49:35    运行应用程序      
进程路径:F:\Once\2\update.EXE
文件路径:C:\windows\system32\cacls.exe
命令行:c:\windows\system32\wanpacket.dll /e /p everyone:f
触发规则:所有程序规则->Block APP Run->%windir%\*

2008-07-19 21:49:37    运行应用程序      
进程路径:F:\Once\2\update.EXE
文件路径:C:\windows\system32\cacls.exe
命令行:c:\Documents and Settings\All Users\「开始」菜单\程序\启动 /e /p everyone:f
触发规则:所有程序规则->Block APP Run->%windir%\*

访问服务管理器

2008-07-19 21:49:39    访问服务管理器      
进程路径:F:\Once\2\update.EXE
触发规则:所有程序规则->*

修改wuauclt1.exe

2008-07-19 21:50:35    修改文件      
进程路径:F:\Once\2\update.EXE
文件路径:C:\windows\system32\wuauclt1.exe
触发规则:所有程序规则->File Rule->?:\*.exe

创建病毒文件   并修改

2008-07-19 21:49:39    创建文件      
进程路径:F:\Once\2\update.EXE
文件路径:C:\windows\system32\dllcache\wuauclt.exe
触发规则:所有程序规则->File Rule->?:\*.exe

2008-07-19 21:51:25    修改文件      
进程路径:F:\Once\2\update.EXE
文件路径:C:\windows\system32\dllcache\wuauclt.exe
触发规则:所有程序规则->File Rule->?:\*.exe

调用IE

2008-07-19 21:51:41    运行应用程序     
进程路径:F:\Once\2\update.EXE
文件路径:C:\program files\Internet Explorer\IEXPLORE.EXE
触发规则:所有程序规则->Process protect rule->C:\Program Files\Internet Explorer\IEXPLORE.exe

修改IE内存   控制IE

2008-07-19 21:51:42    修改其它进程内存      
进程路径:F:\Once\2\update.EXE
目标进程:C:\program files\Internet Explorer\IEXPLORE.EXE
触发规则:所有程序规则->Process protect rule->C:\Program Files\Internet Explorer\IEXPLORE.exe

于各盘根目录创建病毒文件及autorun.inf文件

2008-07-19 21:51:42    创建文件      
进程路径:F:\Once\2\update.EXE
文件路径:C:\autorun.inf
触发规则:所有程序规则->File Rule->?:\autorun.inf

2008-07-19 21:51:42    创建文件     
进程路径:F:\Once\2\update.EXE
文件路径:C:\MSDOS.EXE
触发规则:所有程序规则->File Rule->?:\*.exe

创建注册表

2008-07-19 21:51:42    创建注册表值   
进程路径:F:\Once\2\update.EXE
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\run
注册表名称:[Key]
触发规则:所有程序规则->其他重要项_普通模式->*\Software\Microsoft\Windows\Currentversion\Policies*

创建大量映象劫持项    这里截取几个

2008-07-19 21:51:42    创建注册表值      
进程路径:F:\Once\2\update.EXE
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.EXE
注册表名称:[Key]
触发规则:所有程序规则->其他重要项_普通模式->*\SOFTWARE\Microsoft\Windows*\CurrentVersion\Image File Execution Options*


另外包括了主流的安全软件及常用软件程序  如：360safe.EXE、360tray.EXE、AVP.EXE、AvMonitor.EXE、CCenter.EXE、IceSword.EXE、Iparmor.EXE、KVMonxp.KXP、KVSrvXP.EXE、KVWSC.EXE、Navapsvc.EXE、Nod32kui.EXE、KRegEx.EXE、Frameworkservice.EXE、Mmsk.EXE、Ast.EXE、WOPTILITIES.EXE、Regedit.EXE、AutoRunKiller.EXE、VPC32.EXE、VPTRAY.EXE、ANTIARP.EXE、KASARP.EXE、RAV.EXE、kwatch.EXE、kmailmon.EXE、kavstart.EXE、Runiep.EXE、GuardField.EXE、GFUpd.EXE、rfwmain.EXE、RavStub.EXE、rfwstub.EXE、rfwProxy.EXE

修改显示隐藏文件/夹选项

2008-07-19 21:51:52    修改注册表内容      操作:阻止
进程路径:F:\Once\2\update.EXE
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
注册表名称:CheckedValue
触发规则:所有程序规则->资源管理器_普通模式->HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden*

关键行为：

以命令行调用explorer.exe  IEXPLORE.exe  cacls.exe

与system32\dllcache目录创建exe文件  冒充系统自动更新程序

修改系统文件

各盘根目录创建exe   autorun.inf文件

映象劫持


HIPS防范对策：

阻止以命令行调用explorer.exe  IEXPLORE.exe  cacls.exe

阻止在system32\dllcache目录创建exe文件

阻止修改系统文件

阻止各盘根目录创建exe   autorun.inf文件

阻止建立映象劫持项

阻止修改显示隐藏文件设置

[ 本帖最后由 没注册 于 2008-8-19 16:21 编辑 ]

清青灰菜

沁妍分析得好深入~~~