卡 8 金身被破进程被结束

显示全部楼层 · 发表于 2008-9-13 12:37:01

共找到了 6 个 kill 卡巴进程的样本，都采用同样的手法，已入库三个。

显示全部楼层 · 发表于 2008-9-13 12:39:20

呵呵~~

争取在找些其他手法的，这样卡巴就能不断完善了

显示全部楼层 · 发表于 2008-9-13 13:36:19

树大招风没办法

显示全部楼层 · 发表于 2008-9-13 13:58:09

木马名称:Trojan.Win32.VB.ett

程序:
C:\DOCUMENTS AND SETTINGS\MAOZI778631\LOCAL SETTINGS\TEMP\RAR$EX06.339\KILL 卡8.EXE
是木马程序!
已成功阻止其运行,是否要删除此文件?

显示全部楼层 · 发表于 2008-9-13 14:49:56

卡8的罩门

显示全部楼层 · 发表于 2008-9-13 21:01:37

McAfee 报了2个。。

kill 卡8.exe                no
svohst.exe                BackDoor-ARR.svr
nxhyb23server.exe    BackDoor-ARR.svr

显示全部楼层 · 发表于 2008-9-13 21:03:17

russia developer今天回复

他们正在测试ing~~

显示全部楼层 · 发表于 2008-9-13 21:10:16

如果不是命名管道把卡巴关闭的话

又是用的什么方法？

显示全部楼层 · 发表于 2008-9-13 21:17:45

运行后会加载几个系统DLL

2008-09-13 15:57:55 加载库文件
进程路径:F:\Once\kill卡8\kill卡8.exe
文件路径:C:\WINDOWS\system32\msvbvm60.dll
触发规则:所有程序规则->*

2008-09-13 15:57:57 系统设备控制
进程路径:F:\Once\kill卡8\kill卡8.exe
系统设备名称:\Device\NamedPipe\lsass
触发规则:所有程序规则->*

2008-09-13 15:57:59 加载库文件
进程路径:F:\Once\kill卡8\kill卡8.exe
文件路径:C:\WINDOWS\system32\scrrun.dll
触发规则:所有程序规则->*

2008-09-13 15:58:01 加载库文件
进程路径:F:\Once\kill卡8\kill卡8.exe
文件路径:C:\WINDOWS\system32\wshom.ocx
触发规则:所有程序规则->*

进行映象劫持

2008-09-13 15:58:01 创建注册表值
进程路径:F:\Once\kill卡8\kill卡8.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\avp.exe
注册表名称:[Key]
触发规则:所有程序规则->系统设置->*\SOFTWARE\Microsoft\Windows*\CurrentVersion\Image File Execution Options*

360safe.exe 360tray.exe CCenter.exe Rav.exe Ravmon.exe RavmonD.exe KVXP.exe kissvc.exe KvMonXP.exe KVSrvXP.exe kavstart.exe kwatch.exe kavsvc.exe runiep.exe Rsaupd.exe nod32kui.exe nod32krn.exe avguard.exe avcenter.exe kav32.exe kpfwsvc.exe kpfw32.exe rfwmain.exe rfwproxy.exe rfwsrv.exe sched.exe wscntfy.exe wuauclt.exe avast.exe guard.exe

在C根目录创建temp文件夹并写入随机名EXE

2008-09-13 15:58:03 创建文件
进程路径:F:\Once\kill卡8\kill卡8.exe
文件路径:C:\Temp\amyru27server.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe

操作命名管道

2008-09-13 15:58:54 系统设备控制
进程路径:F:\Once\kill卡8\kill卡8.exe
系统设备名称:\Device\NamedPipe\wkssvc
触发规则:所有程序规则->*

2008-09-13 15:59:05 系统设备控制
进程路径:F:\Once\kill卡8\kill卡8.exe
系统设备名称:\Device\NamedPipe\lsass
触发规则:所有程序规则->*

2008-09-13 15:59:12 系统设备控制
进程路径:F:\Once\kill卡8\kill卡8.exe
系统设备名称:\Device\MountPointManager
触发规则:所有程序规则->*

运行生成物

2008-09-13 15:59:24 运行应用程序
进程路径:F:\Once\kill卡8\kill卡8.exe
文件路径:C:\Temp\skcek44server.exe
触发规则:所有程序规则->*

向system32创建EXE HASH值与skcek44server.exe一致

2008-09-13 15:59:24 创建文件
进程路径:C:\Temp\skcek44server.exe
文件路径:C:\windows\system32\svohst.exe
触发规则:所有程序规则->文件阻止及保护->?:\*.exe

SCM安装/加载驱动

2008-09-13 15:59:50 访问服务管理器
进程路径:C:\Temp\skcek44server.exe
触发规则:所有程序规则->*

2008-09-13 16:00:11 安装服务或者驱动
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\windows\system32\svohst.exe -NetSata
触发规则:所有程序规则->阻止运行->%windir%\*

创建自删除bat

2008-09-13 16:00:12 创建文件
进程路径:C:\Temp\skcek44server.exe
文件路径:C:\windows\system32\Deleteme.bat
触发规则:所有程序规则->文件阻止及保护->?:\*.bat

加载DLL

2008-09-13 16:00:16 加载库文件
进程路径:C:\Temp\skcek44server.exe
文件路径:C:\WINDOWS\system32\faultrep.dll
触发规则:所有程序规则->*

显示全部楼层 · 发表于 2008-9-13 21:19:34

有劳你费神了，希望能实时报导进展情况。适当的时候我再把其余样本放上来。

[病毒样本] 卡 8 金身被破进程被结束

回复 31楼浪滔天的帖子

回复 1楼浪滔天的帖子

回复 37楼 syfwxmh 的帖子

[病毒样本] 卡 8 金身被破 进程被结束

回复 31楼 浪滔天 的帖子

回复 1楼 浪滔天 的帖子

回复 37楼 syfwxmh 的帖子

[病毒样本] 卡 8 金身被破进程被结束

回复 31楼浪滔天的帖子

回复 1楼浪滔天的帖子