伪文件厂商的小毒

backway

文件信息：
文件名称：59.exe
编写语言：VC++
大小：86528byte
MD5: 3BD954101FA47E98BB3809971D960123
病毒名：Kaspersky：Trojan-Dropper.Win32.Agent.aoeo
               Rising：Backdoor.Win32.Undef.ddy
文件版本：



行为：

创建文件：

进程路径:C:\Documents and Settings\Administrator\桌面\59\59.exe
文件路径:C:\WINDOWS\system32悙悙悙悙悙悙悙悙悙

修改文件：
进程路径:C:\Documents and Settings\Administrator\桌面\59\59.exe
文件路径:C:\WINDOWS\system32悙悙悙悙悙悙悙悙悙

加载驱动程序：
进程路径:C:\WINDOWS\system32\services.exe
驱动路径:C:\WINDOWS\system32\drivers\Beep.sys

创建文件：
进程路径:C:\Documents and Settings\Administrator\桌面\59\59.exe
文件路径:C:\WINDOWS\system32\RlmytfC.dll（随机名）

修改Rlmytfc.dll属性为隐藏：
进程路径:C:\Documents and Settings\Administrator\桌面\59\59.exe
文件路径:(隐藏文件)C:\WINDOWS\system32\RlmytfC.dll


向注册表中写入服务项（绿色部分）：
创建注册表值：
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmdmpnSyser
注册表名称:[Key]

创建注册表值 ：
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmdmpnSyser
注册表名称:Start=2（自动）

创建注册表值 ：
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmdmpnSyser
注册表名称:ErrorControl=0

安装服务或者驱动：
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\WINDOWS\System32\svchost.exe -k krnlsrvc

创建注册表值：
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmdmpnSyser
注册表名称:ImagePath=%SystemRoot%\System32\svchost.exe -k krnlsrvc

创建注册表值 ：
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmdmpnSyser
注册表名称:DisplayName=Portable Medes Servel Number Serv

创建注册表值：
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmdmpnSyser
注册表名称:ObjectName=LocalSystem

创建注册表值 ：
进程路径:C:\Documents and Settings\Administrator\桌面\59\59.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmdmpnSyser
注册表名称:Description=Retrieves the serial number

结束/挂起进程：
进程路径:C:\WINDOWS\system32\services.exe
目标进程:C:\WINDOWS\system32\svchost.exe

创建注册表值 ：
进程路径:C:\Documents and Settings\Administrator\桌面\59\59.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmdmpnSyser\Parameters
注册表名称:ServiceDll=C:\WINDOWS\system32\RlmytfC.dll

创建注册表值：
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmdmpnSyser\Enum
注册表名称:[Key]

创建注册表值：
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmdmpnSyser\Enum
注册表名称:0=Root\LEGACY_WMDMPNSYSER\0000

创建注册表值：
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmdmpnSyser\Enum
注册表名称:Count=1

创建注册表值：
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WmdmpnSyser\Enum
注册表名称:NextInstance=1

调用cmd删除自身并不显示返回信息：
进程路径:C:\Documents and Settings\Administrator\桌面\59\59.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c del C:\DOCUME~1\ADMINI~1\桌面\59\59.exe > nul

cmd删除59.exe：
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\Documents and Settings\Administrator\桌面\59\59.ex


Sreng扫描异常项：



这个毒比较早的了，现在只是提醒下，用工具手工杀毒时，对于这种类型的小毒要小心，不要看到有第三方厂商信息就认为可信，服务名以及显示名也都比较规范。。。

vistahorn

冒充360的病毒不少
可能是树大招风

vebee

小毒  ？

嘿嘿  过来看看咯

感觉毒无大小吧

tawny2008

呵呵，分析得不错，不过建议病毒分析日志可以参考HIPS区狐狸的日志框架，个人觉得那种框架很清晰

ximo

伪装数字签名非常简单，手工操作也就1分钟的事，想伪装谁就伪装谁的。还有专门添加伪装签名的工具，其实自己写也很简单。
不过，这种东西，也仅仅只能称为伪装，也就是说，只是在显示上有数字签名，而事实上是过不了签名验证的。
所以说也就简单的欺骗下不懂的而已，一般没多大用处，而大部分杀软（可以说是几乎所有，可能还有例外吧），都会检测数字签名。

250662772

呵呵,我这个自行添加证书就通过验证了

backway

真正360的文件：

FileDigitalSignVerify for System Repair Engineer
Copyright (C) 2007 Smallfrogs
KZTechs.COM - www.KZTechs.com
状态 签名者 文件路径
0x00000000 Qizhi Software (beijing) Co. Ltd C:\Program Files\360\360Safe\safemon\360compro.dll
0x00000000 Qizhi Software (beijing) Co. Ltd C:\Program Files\360\360Safe\safemon\360procmon.dll
0x00000000 Qizhi Software (beijing) Co. Ltd C:\Program Files\360\360Safe\safemon\360procmon.sys
0x00000000 Qizhi Software (beijing) Co. Ltd C:\Program Files\360\360Safe\safemon\360realpro.exe
0x00000000 Qizhi Software (beijing) Co. Ltd C:\Program Files\360\360Safe\safemon\360tray.exe
0x00000000 Qizhi Software (beijing) Co. Ltd C:\Program Files\360\360Safe\safemon\360webpro.dll
0x00000000 Qizhi Software (beijing) Co. Ltd C:\Program Files\360\360Safe\safemon\safeboxapi.dll
0x00000000 Qizhi Software (beijing) Co. Ltd C:\Program Files\360\360Safe\safemon\SafeBoxKrnl.sys
0x00000000 Qizhi Software (beijing) Co. Ltd C:\Program Files\360\360Safe\safemon\safekrnl.dll
0x00000000 Qizhi Software (beijing) Co. Ltd C:\Program Files\360\360Safe\safemon\safemon.dll
0x00000000 Qizhi Software (beijing) Co. Ltd C:\Program Files\360\360Safe\safemon\urlproc.dll

而这个：

FileDigitalSignVerify for System Repair Engineer

Copyright (C) 2007 Smallfrogs
KZTechs.COM - www.KZTechs.com

状态 签名者 文件路径
0x800b0100 - D:\绿色软件\Block Files\59.exe

呵呵。。。

[ 本帖最后由 backway 于 2009-5-18 18:32 编辑 ]

backway

原帖由 tawny2008 于 2009-5-18 16:39 发表
呵呵，分析得不错，不过建议病毒分析日志可以参考HIPS区狐狸的日志框架，个人觉得那种框架很清晰

写的太细了。。。光写注册表就一堆。。。
现在时间不多了咯。。。接下来的一个月比较忙，可能参与讨论的不多了。。。

费饭饭

原帖由 tawny2008 于 2009-5-18 16:39 发表
呵呵，分析得不错，不过建议病毒分析日志可以参考HIPS区狐狸的日志框架，个人觉得那种框架很清晰

哪里有??

dl123100

这个不是伪造签名 只是模仿了360的版本信息吧