360、瑞星无法查杀，病毒救援区连续2天多位高手分析后确定的样本

显示全部楼层 · 发表于 2009-2-17 17:44:31

帖子讨论：
http://bbs.kafan.cn/thread-425638-1-1.html
（特别怪异的病毒，我的5年手动杀毒经验竟然搞定不了）
帖子有详细现象描述与截图。
感谢kafan论坛，感谢帮我分析的高手们！

总结一下：
1、劫持域名，对rising.com.cn/360safe.com等病毒网站域名无法劫持。
2、360safe、瑞星（最新版本）无法查杀。
3、360日志、sreng日志、sigverif日志没有问题，最后通过“狙剑”的日志发现异常
4、国外杀毒软件有些能杀，virustotal查结果9/39
5、这个木马应该是去年11月份感染的，因为但是还有autorun木马，我但是就删了这个。
====================================
现在有问题是：
1、我还是第一次碰到这种用wsyscheck都看不到服务项的服务，是怎么隐藏的？没有ssdthook呀。
2、怎么实现这种dns查询的劫持的？？毕竟这个不是tcp，是udp。
3、它是那种类型的服务或者驱动？隐藏的还可以呀。
======================
请各位不吝指教。
欢迎加我qq14627999前来交流。
我的blog：
http://hi.baidu.com/it_security

热烈欢迎。
再次感谢！

样本在附件，一个dll，一个sys。
解压密码123（怕以后杀毒能杀了下载的过程就杀了）

[ 本帖最后由 lwj707 于 2009-2-17 17:51 编辑 ]

显示全部楼层 · 发表于 2009-2-17 17:50:42

Name: Rootkit.Alureon.Gen!Pac.2
Type: Mutant

Description:

Files:
c:\users\administrator\desktop\msqpdxctaoyltu.sys

Name: AdWare.Agent.FRVP
Type: Trojan

Description:

Files:
c:\users\administrator\desktop\msqpdxnmtjnvbc.dll

显示全部楼层 · 发表于 2009-2-17 17:52:22

帮我解答问题吧。呵呵，谢谢
现在有问题是：
1、我还是第一次碰到这种用wsyscheck都看不到服务项的服务，是怎么隐藏的？没有ssdthook呀。
2、怎么实现这种dns查询的劫持的？？毕竟这个不是tcp，是udp。
3、它是那种类型的服务或者驱动？隐藏的水平还可以呀

显示全部楼层 · 发表于 2009-2-17 18:03:11

虚拟机下一加载msqpdxctaoyltu.sys就蓝屏不试了

显示全部楼层 · 发表于 2009-2-17 18:06:40

小红伞全杀了。
msqpdxctaoyltu.sys
[DETECTION] Contains recognition pattern of the RKIT/HideFile.I root kit
msqpdxnmtjnvbc.dll
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

显示全部楼层 · 发表于 2009-2-17 18:17:03

DR.WEB
\msqpdxnmtjnvbc.dll - infected with BackDoor.Tdss.43

显示全部楼层 · 发表于 2009-2-17 18:19:13

我觉得分析的话，应该反汇编分析或者逆向（WOWCOCK那种大牛)

谢谢楼上的！

显示全部楼层 · 发表于 2009-2-17 18:28:10

msqpdxctaoyltu.sys - Rootkit.Win32.TDSS.pkl

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

msqpdxnmtjnvbc.dll - not-a-virus:AdWare.Win32.Agent.ivf

This file is an Advertizing Tool, it is detected by
extended databases set. See more info about
extended databases here: http://www.kaspersky.com/extraavupdates

显示全部楼层 · 发表于 2009-2-17 18:57:23

msqpdxnmtjnvbc.dll
[DETECTION] Is the TR/Crypt.XPACK.Gen Trojan

msqpdxctaoyltu.sys
[DETECTION] Contains recognition pattern of the RKIT/HideFile.I root kit

http://virscan.org/report/c6b1ce7dbe9a7011c49ac6ce8aa0abba.html
扫描结果 :    41%的杀软(15/37)报告发现病毒
时间 :    2009/02/17 18:59:12 (CST)
http://virscan.org/report/353abd024532c64f393838b9b86e31f7.html
扫描结果 :    70%的杀软(26/37)报告发现病毒
时间 :    2009/02/17 19:07:40 (CST)

[ 本帖最后由一下子丫于 2009-2-17 19:11 编辑 ]

显示全部楼层 · 发表于 2009-2-17 19:19:46

太牛了。
样本的dll跟sys文件都是加壳
peid还看不出来，
手动脱麻烦，
不反编译分析了。

[病毒样本] 360、瑞星无法查杀，病毒救援区连续2天多位高手分析后确定的样本

本帖子中包含更多资源

浏览过的版块