经验证能穿透《Shadow Defender 1.1.0.278 简体中文封装版》的病毒样本

显示全部楼层 · 发表于 2009-5-20 23:03:57

经验证能穿透《Shadow Defender 1.1.0.278 简体中文封装版》的病毒样本

这个样本真的是好不容易捕捉啊，朋友在网吧帮我守了将近两个星期才捉到。

本人拿到后在装有Shadow Defender 1.1.0.278 简体中文封装版的电脑上验证过，运行后确实重启了电脑还有这个病毒存在。具AUTORUN特性，自我复制到所有盘。

本人的SD是全盘保护的，当然有隐藏分区，隐藏分区不保护，病毒并未能感染这个盘。

运行后，需要等待1分钟时间，这时这个病毒发作，联网下载各式病毒。在进程中多了几个进程。其中会生成各种如25[1].EXE，30[1].EXE，35[1].EXE等这些进程。

重启后，在各盘符下生成1.exe文件及autorun.inf

卡巴秒杀此病毒！
测试者请小心行事！
以下为下载。太大分多个文件。解压密码：123

显示全部楼层 · 发表于 2009-5-20 23:07:57

忘记说了，解压后还有一个压缩包，这个压缩包里面的才是病毒样本。因为怕它感染我这台机才再次加压。

显示全部楼层 · 发表于 2009-5-20 23:21:34

怕怕

显示全部楼层 · 发表于 2009-5-20 23:26:35

原帖由 danny5600544 于 2009-5-20 23:03 发表
经验证能穿透《Shadow Defender 1.1.0.278 简体中文封装版》的病毒样本

这个样本真的是好不容易捕捉啊，朋友在网吧帮我守了将近两个星期才捉到。

本人拿到后在装有Shadow Defender 1.1.0.278 简体中文封装版的 ...

VirSCAN.org Scanned Report :
Scanned time : 2009/05/20 23:14:48 (CST)
Scanner results: 71%的杀软(27/38)报告发现病毒
File Name    : 1.exe
File Size    : 978432 byte
File Type    : MS-DOS executable, MZ for MS-DOS
MD5          : f67f105a672c2826bf65b19d98a71a2d
SHA1          : 1c8b1540ad9cc29573981fe78b91b40be174277e
Online report  : http://virscan.org/report/60d0489f46a4f977786439288c2c31ed.html
Scanner       Engine Ver    Sig Ver          Sig Date Time Scan result
a-squared    4.0.0.32       20090520014101 2009-05-20  3.14 Generic.PWS.Games!IK
安博士V3    2009.05.20.02 2009.05.20       2009-05-20  0.75 Win-Trojan/Downloader.978432
AntiVir       8.2.0.168    7.1.4.1          2009-05-20  0.15 TR/Crypt.FKM.Gen
安天          2.0.18       20090520.2444633  2009-05-20  0.12 -
Arcavir       2009          200905200945    2009-05-20  0.08 Heur.RoundKick
Authentium    5.1.1          200905191838    2009-05-19  1.54 W32/Heuristic-210!Eldorado (Heuristic)
AVAST!       4.7.4          090519-0       2009-05-19  0.04 Win32:Rootkit-gen [Rtk]
AVG          8.5.286       270.12.35/2124 2009-05-20  3.92 Worm/Generic.ZSI
BitDefender 7.81008.3093648 7.25524          2009-05-20  2.88 Generic.Malware.SP!Pk!Tkg.70C3BCB5
CA (VET)    9.0.0.143    31.6.6512       2009-05-20  7.22 Win32/Farfli!generic trojan.
ClamAV       0.95          9374             2009-05-20  0.15 -
Comodo       3.9          1177             2009-05-20  0.71 -
CP Secure    1.1.0.715    2009.05.20       2009-05-20  9.34 -
Dr.Web       4.44.0.9170    2009.05.20       2009-05-20  4.63 -
F-Prot       4.4.4.56       20090519       2009-05-19  1.49 Possible W32/Heuristic-210!Eldorado (damaged, not disinfectable)
F-Secure    5.51.6100    2009.05.20.05    2009-05-20  5.66 -
飞塔          2.81-3.117    10.411          2009-05-20  0.19 PossibleThreat
GData       19.5298/19.336  20090520       2009-05-20  4.15 Win32:Rootkit-gen [Rtk] [Engine:B]
ViRobot       20090518       2009.05.18       2009-05-18  0.41 -
Ikarus       T3.1.01.49    2009.05.20.72744  2009-05-20  3.28 Generic.PWS.Games
江民杀毒    11.0.706       2009.05.20       2009-05-20  1.97 Trojan/Agent.ceth
卡巴斯基    5.5.10       2009.05.20       2009-05-20  0.15 -
金山毒霸    2009.2.5.15    2009.5.20.18    2009-05-20  0.48 Win32.Troj.KillAVT.cn.102400
迈克菲       5.3.00       5620             2009-05-19  3.31 New Malware.aj
Microsoft    1.4602       2009.05.20       2009-05-20  5.47 -
mks_vir       2.01          2009.05.20       2009-05-20  3.19 Heur.Win32
Norman       6.01.05       6.01.00          2009-05-20  4.01 W32/Packed_Upack.A
熊猫卫士    9.05.01       2009.05.19       2009-05-19  1.89 -
趋势科技    8.700-1004    6.140.04       2009-05-20  0.26 -
Quick Heal    10.00          2009.05.20       2009-05-20  1.92 Suspicious - DNAScan
瑞星          20.0          21.30.20.00    2009-05-20  1.18 Trojan.Win32.KillAV.bdv
Sophos       2.86.0       4.41             2009-05-20  2.50 Mal/Inet-Fam
Sunbelt       5143          5143             2009-05-19  0.81 Trojan.Win32.Packer.Upack0.3.9 (v)
赛门铁克    1.3.0.24       20090519.034    2009-05-19  0.24 Trojan.KillAV
nProtect    20090520.01    3767316          2009-05-20  5.29 Generic.Malware.SP!Pk!Tkg.70C3BCB5
The Hacker    6.3.4.1       v00328          2009-05-20  0.65 W32/Behav-Heuristic-060
VBA32       3.12.10.5    20090519.1455    2009-05-19  2.10 Win32.Trojan.Downloader (http://...) (suspicious)
VirusBuster 4.5.11.10    10.105.32/1381066 2009-05-19  2.71 Packed/Upack

显示全部楼层 · 发表于 2009-5-21 08:01:17

包怎么分割得这么小？

显示全部楼层 · 发表于 2009-5-21 08:13:33

共享c:\windwos跟临时文件夹
2009-05-21 07:59:01       应用程序保护(运行应用程序)
进程路径:E:\download\test\1\1\1.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c cacls C:\WINDOWS /e /p everyone:f

2009-05-21 07:59:01       应用程序保护(运行应用程序)
进程路径:E:\download\test\1\1\1.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c cacls "e:\Temp\" /e /p everyone:f

关闭eset的服务,并结束
2009-05-21 07:59:01       应用程序保护(运行应用程序)
进程路径:E:\download\test\1\1\1.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c sc config ekrn start= disabled

2009-05-21 07:59:01       应用程序保护(运行应用程序)
进程路径:E:\download\test\1\1\1.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c taskkill /im ekrn.exe /f

2009-05-21 07:59:01       应用程序保护(运行应用程序)
进程路径:E:\download\test\1\1\1.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c taskkill /im egui.exe /f

2009-05-21 07:59:01       应用程序保护(运行应用程序)
进程路径:E:\download\test\1\1\1.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c taskkill /im ScanFrm.exe /f

创建func.dll并调用
2009-05-21 07:59:06       文件保护(创建文件)
进程路径:E:\download\test\1\1\1.exe
文件路径:C:\WINDOWS\system32\func.dll

2009-05-21 07:59:06       应用程序保护(运行应用程序)
进程路径:E:\download\test\1\1\1.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:func.dll, droqp

联网下载网马
2009-05-21 07:48:31 创建文件
进程路径:E:\download\test\1\1\1.exe
文件路径:E:\Temporary Internet Files\Content.IE5\VB9GEUGT\CAKTUFW9.dll

2009-05-21 07:48:34 创建文件
进程路径:E:\download\test\1\1\1.exe
文件路径:E:\Temporary Internet Files\Content.IE5\VB9GEUGT\main[1].dll

往system32创建dll跟驱动
2009-05-21 07:59:30       文件保护(创建文件)
进程路径:E:\download\test\1\1\1.exe
文件路径:C:\WINDOWS\system32\phpi.dll

2009-05-21 07:59:30       文件保护(创建文件)
进程路径:E:\download\test\1\1\1.exe
文件路径:C:\WINDOWS\system32\drivers\pcidump.sys

添加服务
2009-05-21 07:59:30       注册表保护(修改注册表内容)
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\PCIDump
注册表名称:Start

修改host文件
2009-05-21 07:59:30       文件保护(修改文件)
进程路径:E:\download\test\1\1\1.exe
文件路径:C:\WINDOWS\system32\drivers\etc\hosts

往每个盘创建1.exe跟autorun.inf
2009-05-21 07:59:30       文件保护(创建文件)
进程路径:E:\download\test\1\1\1.exe
文件路径:C:\1.exe

2009-05-21 07:59:30       文件保护(创建文件)
进程路径:E:\download\test\1\1\1.exe
文件路径:C:\autorun.inf

2009-05-21 07:59:30       文件保护(创建文件)
进程路径:E:\download\test\1\1\1.exe
文件路径:E:\1.exe

2009-05-21 07:59:30       文件保护(创建文件)
进程路径:E:\download\test\1\1\1.exe
文件路径:E:\autorun.inf

2009-05-21 07:59:30       应用程序保护(运行应用程序)
进程路径:E:\download\test\1\1\1.exe
文件路径:C:\WINDOWS\system32\ipconfig.exe
命令行:/all

继续下载网马
2009-05-21 07:59:32       文件保护(创建文件)
进程路径:E:\download\test\1\1\1.exe
文件路径:E:\Temporary Internet Files\Content.IE5\VB9GEUGT\1[1].exe

2009-05-21 07:59:32       文件保护(创建文件)
进程路径:E:\download\test\1\1\1.exe
文件路径:E:\Temporary Internet Files\Content.IE5\VB9GEUGT\CAQR2BU9.exe

全盘感染exe
2009-05-21 07:59:32       文件保护(修改文件)
进程路径:E:\download\test\1\1\1.exe
文件路径:E:\download\Dprm.exe

2009-05-21 07:59:34       文件保护(修改文件)
进程路径:E:\download\test\1\1\1.exe
文件路径:E:\download\EQView\EQView.exe

[ 本帖最后由 elst5523183 于 2009-5-21 08:14 编辑 ]

显示全部楼层 · 发表于 2009-5-21 09:05:29

Hello,

1.exe_ - Trojan-Downloader.Win32.Agent.byny

New malicious software was found in this file. It's detection will be included in the next update. Thank you for your help.

显示全部楼层 · 发表于 2009-5-21 09:09:15

卡巴
检测到：木马程序 Trojan-Downloader.Win32.Geral.re URL: http://bbs.kafan.cn/attachment.p ... /PE_Patch//UPack//#

显示全部楼层 · 发表于 2009-5-21 09:58:28

6楼的分析很全面，谢谢分享

显示全部楼层 · 发表于 2009-5-21 21:52:48

to McAfee

[病毒样本] 经验证能穿透《Shadow Defender 1.1.0.278 简体中文封装版》的病毒样本

本帖子中包含更多资源

本帖子中包含更多资源

回复 4楼 328397663 的帖子