来自精睿(vc52).网络安全------------djy0550病毒样本

alphax

• File InfoName        Value
Size        15136
MD5        4812d208918f7d0b3890e5aa3002dfea
SHA1        c649dbefc2d23a28ae8e6caf0f2d7e04376af8e6
SHA256        33167a0429605d3b2d4d6417b0d6e048d8300b63c3b9678afc53e81f60496a78
Process        Exited

• Keys Created
• Keys Changed
• Keys Deleted
• Values Created
• Values ChangedName        Type        Size        Value
LM\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs        REG_SZ/REG_SZ        2/56        ""/"C:\WINDOWS\fonts\ComRes.dll"

• Values Deleted
• Directories Created
• Directories Changed
• Directories Deleted
• Files CreatedName        Size        Last Write Time        Creation Time        Last Access Time        Attr
C:\WINDOWS\Fonts\ComRes.dll        12288        2009.01.12 14:51:22.187        2009.01.12 14:51:22.140        2009.01.12 14:51:22.140        0x20
C:\WINDOWS\Fonts\ctm11006.fon        1312        2009.01.12 14:51:25.406        2009.01.12 14:51:25.406        2009.01.12 14:51:25.406        0x20
C:\WINDOWS\Fonts\ctm11006.ttf        30208        2009.01.12 14:51:24.796        2009.01.12 14:51:23.375        2009.01.12 14:51:23.375        0x20
C:\WINDOWS\system32\ComRes.dll        12288        2009.01.12 14:51:22.140        2007.07.27 12:00:00.000        2009.01.12 14:51:22.109        0x20
C:\WINDOWS\system32\ctm11006.exe        33280        2007.07.27 12:00:00.000        2009.01.12 14:51:25.437        2009.01.12 14:51:25.437        0x20
C:\WINDOWS\system32\sysctm.dll        792064        2007.07.27 12:00:00.000        2007.07.27 12:00:00.000        2008.08.01 05:31:54.546        0x20

• Files Changed
• Files DeletedName        Size        Last Write Time        Creation Time        Last Access Time        Attr
C:\TEST\sample.exe        15136        2009.01.12 14:51:20.140        2009.01.12 14:50:49.250        2009.01.12 14:50:49.250        0x20
C:\WINDOWS\system32\comres.dll        792064        2007.07.27 12:00:00.000        2007.07.27 12:00:00.000        2008.08.01 05:31:54.546        0x20

• Directories Hidden
• Files Hidden
• Drivers Loaded
• Drivers Unloaded
• Processes CreatedPId        Process Name        Image Name
0xb4        ctm11006.exe

• Processes Terminated
• Threads CreatedPId        Process Name        TId        Start        Start Mem        Win32 Start        Win32 Start Mem
0xb4        ctm11006.exe        0xf4        0x7c810867        MEM_FREE        0x0        MEM_FREE
0xb4        ctm11006.exe        0x118        0x7c810856        MEM_FREE        0x0        MEM_FREE
0x274        winlogon.exe        0xa8        0x7c810856        MEM_IMAGE        0x77e76bf0        MEM_IMAGE
0x348        svchost.exe        0xf0        0x7c810856        MEM_IMAGE        0x7c910760        MEM_IMAGE

• Modules Loaded
• Windows Api Calls
• DNS Queries
• HTTP Queries
• VerdictAuto Analysis Verdict
Rated as Suspicious+

• DescriptionSuspicious Actions Detected
Creates files in windows system directory
Deletes self
Injects code into other processes

• Mutexes Created or OpenedPId        Image Name        Address        Mutex Name
0xb4        C:\WINDOWS\system32\ctm11006.exe        0x8a2aa5        ctm180
0xb4        C:\WINDOWS\system32\ctm11006.exe        0x8a35df        ctm1552

• Events Created or OpenedPId        Image Name        Address        Event Name
0x7b0        C:\TEST\sample.exe        0x77a89422        Global\crypt32LogoffEvent
0xb4        C:\WINDOWS\system32\ctm11006.exe        0x77a89422        Global\crypt32LogoffEvent