查看: 5088|回复: 10
收起左侧

[病毒样本] 也过卡巴和AVG,看看是不是病毒?

[复制链接]
zx_19860101
发表于 2007-1-11 20:08:39 | 显示全部楼层 |阅读模式
大家看看吧

[ 本帖最后由 ALEXBLAIR 于 2007-1-11 23:45 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
小邪邪
发表于 2007-1-11 20:15:36 | 显示全部楼层
运行了一下,会调用系统中的ShimEng.dll,IMM32.DLL,LPK.DLL,winmm.dll等文件
可疑
ALEXBLAIR
发表于 2007-1-11 20:52:38 | 显示全部楼层
分析报告:
类型:木马
描述:
木马将会创建以下进程:
C:\WINDOWS\Logo1_.exe
C:\WINDOWS\uninstall\rundl132.exe

其中C:\WINDOWS\Logo1_.exe是主要文件

木马流程:
试图关闭:金山毒霸的进程:Kingsoft AntiVirus Service
建立C:\WINDOWS\uninstall\rundl132.exe
并建立以下注册表启动项:
   注册表键: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
   注册表值: load
      类型: REG_SZ
      值: C:\WINDOWS\uninstall\rundl132.exe
调用显卡驱动来注入系统
"C:\WINDOWS\system32\ntvdm.exe" -f -i1 -w -a C:\WINDOWS\system32\krnl386.exe
最后注入explorer.exe接管内存和获得系统级进程。

最后一步就是:向外放信息!(所有木马都要干的)
ALEXBLAIR
发表于 2007-1-11 20:54:59 | 显示全部楼层
在虚拟机上的调试日志



  1. 父级进程:
  2.    路径: Z:\SETUP\SETUP.EXE
  3.    PID: 1588
  4. 子级进程:
  5.    路径: C:\WINDOWS\system32\net.exe
  6.    信息: Net Command (Microsoft Corporation)
  7.    命令行:net stop "Kingsoft AntiVirus Service"
  8. 父级进程:
  9.    路径: C:\WINDOWS\system32\net.exe
  10.    PID: 1608
  11.    信息: Net Command (Microsoft Corporation)
  12. 子级进程:
  13.    路径: C:\WINDOWS\system32\net1.exe
  14.    信息: Net Command (Microsoft Corporation)
  15.    命令行:net1 stop "Kingsoft AntiVirus Service"
  16. 进程:
  17.    路径: Z:\SETUP\SETUP.EXE
  18.    PID: 1588
  19. 注册表群组:
  20. 对象:
  21.    注册表键: HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  22.    注册表值: load
  23.       类型: REG_SZ
  24.       值: C:\WINDOWS\uninstall\rundl132.exe
  25. 父级进程:
  26.    路径: Z:\SETUP\SETUP.EXE
  27.    PID: 1588
  28. 子级进程:
  29.    路径: C:\WINDOWS\Logo1_.exe
  30.    命令行:C:\WINDOWS\Logo1_.exe
  31.    路径: C:\WINDOWS\Logo1_.exe
  32.    PID: 1696
  33. 子级进程:
  34.    路径: C:\WINDOWS\system32\net.exe
  35.    信息: Net Command (Microsoft Corporation)
  36.    命令行:net stop "Kingsoft AntiVirus Service"
  37. 父级进程:
  38.    路径: C:\WINDOWS\system32\cmd.exe
  39.    PID: 1684
  40.    信息: Windows Command Processor (Microsoft Corporation)
  41. 子级进程:
  42.    路径: C:\WINDOWS\system32\ntvdm.exe
  43.    信息: NTVDM.EXE (Microsoft Corporation)
  44.    命令行:"C:\WINDOWS\system32\ntvdm.exe" -f -i1 -w -a C:\WINDOWS\system32\krnl386.exe
  45. 父级进程:
  46.    路径: C:\WINDOWS\system32\net.exe
  47.    PID: 1728
  48.    信息: Net Command (Microsoft Corporation)
  49. 子级进程:
  50.    路径: C:\WINDOWS\system32\net1.exe
  51.    信息: Net Command (Microsoft Corporation)
  52.    命令行:net1 stop "Kingsoft AntiVirus Service"
  53. 父级进程:
  54.    路径: C:\WINDOWS\Logo1_.exe
  55.    PID: 1696
  56. 子级进程:
  57.    路径: C:\WINDOWS\system32\net.exe
  58.    信息: Net Command (Microsoft Corporation)
  59.    命令行:net stop "Kingsoft AntiVirus Service"
  60. 父级进程:
  61.    路径: C:\WINDOWS\system32\svchost.exe
  62.    PID: 756
  63.    信息: Generic Host Process for Win32 Services (Microsoft Corporation)
  64. 子级进程:
  65.    路径: C:\WINDOWS\system32\wbem\wmiadap.exe
  66.    信息: WMI (Microsoft Corporation)
  67.    命令行:wmiadap.exe /F /T
  68. 进程:
  69.    路径: C:\WINDOWS\Logo1_.exe
  70.    PID: 1696
  71. 对象:
  72.    路径: C:\WINDOWS\explorer.exe
  73.    信息: Windows Explorer (Microsoft Corporation)
  74. 此项允许修改其它程序的虚拟内存,且可用以调整其它程序的性能。
  75. 进程:
  76.    路径: C:\WINDOWS\Logo1_.exe
  77.    PID: 1696
  78. 对象:
  79.    路径: C:\WINDOWS\explorer.exe
  80.    信息: Windows Explorer (Microsoft Corporation)
  81. 此项允许获得全部控制于另一进程的某线程上,且可能被用于“DLL注入”。
复制代码
曲中求
发表于 2007-1-11 21:20:04 | 显示全部楼层
刚刚在机子上运行试了一下,NOD 32 2.70.25没有反应,CPU占用100%。于是打开任务管理器手工结束其进程SETUP.exe,机子运行又正常了,重启机器也没有发现任何可疑进程,打开所有隐藏文件,在系统目录下也没有发现创建的文件,也没有外联的情况…………

[ 本帖最后由 曲中求 于 2007-1-11 21:22 编辑 ]
ALEXBLAIR
发表于 2007-1-11 21:27:06 | 显示全部楼层
原帖由 曲中求 于 2007-1-11 21:20 发表
刚刚在机子上运行试了一下,NOD 32 2.70.25没有反应,CPU占用100%。于是打开任务管理器手工结束其进程SETUP.exe,机子运行又正常了,重启机器也没有发现任何可疑进程,打开所有隐藏文件,在系统目录下也没有发现 ...

调用的是ie或其他的正常程序进行外联的,自身不对外联系。
至于那些文件,用的是rookit驱动,一般情况下看不到,要用icesword这类的底层工具去掉保护驱动后才能看到。

这个文件主要是针对金山开发的,标准的国产软件,可惜没有截获外联的信息包。
大致属于password或backdoor类的木马。(但是没有开端口)
曲中求
发表于 2007-1-11 21:38:29 | 显示全部楼层

回复 #6 ALEXBLAIR 的帖子

哦。。。。原来如此,学习。。。

目前MS一切正常,已经运行了20多个木马了。还没有发现异常现象,让人期待啊。。。

[ 本帖最后由 曲中求 于 2007-1-11 21:46 编辑 ]
ttdown
发表于 2007-1-11 21:44:10 | 显示全部楼层
原帖由 ALEXBLAIR 于 2007-1-11 20:54 发表
在虚拟机上的调试日志



父级进程:
   路径: Z:\SETUP\SETUP.EXE
   PID: 1588
子级进程:
   路径: C:\WINDOWS\system32\net.exe
   信息: Net Command (Microsoft Corporation)
   命令行: ...


版主用什么软件分析的?好详细的日志!另外,用的是哪一个虚拟机软件?

BTW:小红伞报了!

Begin scan in 'E:\TOOLS\Virus-TEST\New\SETUP.rar'
E:\TOOLS\Virus-TEST\New\SETUP.rar
  [0] Archive type: RAR
  --> SETUP.exe
      [DETECTION] Is the Trojan horse TR/Crypt.NSPM.Gen
      [INFO]      A backup was created as '45fa4324.qua'  ( QUARANTINE )
      [INFO]      The file was renamed to 'SETUP.rar.VIR'!

[ 本帖最后由 ttdown 于 2007-1-11 21:56 编辑 ]
chow2006
发表于 2007-1-11 21:52:45 | 显示全部楼层
微点把它查出来了
vmzy
发表于 2007-1-11 21:57:17 | 显示全部楼层
小红伞KO!
SETUP.exe
      [DETECTION] Is the Trojan horse TR/Crypt.NSPM.Gen
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-1 00:35 , Processed in 0.131779 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表