楼主: 雨宫优子
收起左侧

[版主公告] 【论坛三周年样本区】样本分析大赛【阶段1完毕,阶段2正在进行】【新增活动奖励】

 关闭 [复制链接]
asinasina
发表于 2009-5-24 18:59:59 | 显示全部楼层
我是第一个上传的,版主要多给个奖励啊



5、可以在报告的基础上附加一些内容,这会增加你的报告吸引力

加个美女行不行啊?

这个不是太牛X的东东啦,只是当初过了很多杀软的,修改首页的..重在参与
好像有大牛们在...我这帖属于骗分的
总结如下

建立新文件:
C:\Windows\System32\msconfig.exe
C:\Windows\System32\msexch28.dll
C:\Windows\System32\msvcp71.dll
C:\Windows\System32\runassrv.exe
C:\Windows\System32\wupnmg.exe

产生新进程与dll
msexch28.dll
wupnmg.exe
runassrv.exe
msconfig.exe
建立新的服务
C:\Windows\System32\runassrv.exe runsrv /name:"NT LM Security Support(RPC)" /prinum:"32"  /cmdline:"%System%\wupnmg.exe"
新建注册表值:
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes
  • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet  Explorer\SearchScopes\{402128F8-5DD7-4039-B4BE-80E4366186AF}
  • HKEY_LOCAL_MACHINE\SOFTWARE\XGTTME
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NT LM Security Support(RPC)
  • HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NT LM Security  Support(RPC)\Security
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NT LM Security  Support(RPC)
  • HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NT LM Security  Support(RPC)\Security
  • HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes
  • HKEY_CURRENT_USER\Software\Microsoft\Internet  Explorer\SearchScopes\{402128F8-5DD7-4039-B4BE-80E4366186AF}
  新建 注册表值
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\AboutURLs]
    • wz = "http://www.you2000.net"
       
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet  Explorer\SearchScopes\{402128F8-5DD7-4039-B4BE-80E4366186AF}]
  • URL = "http://www.go2000.cn/p/?q={searchTerms}"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\SearchScopes]
  • DefaultScope = "{402128F8-5DD7-4039-B4BE-80E4366186AF}"
  • [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
    • msconfig = "%System%\msconfig.exe /ALL"
            
         
  • [HKEY_LOCAL_MACHINE\SOFTWARE\XGTTME]
    • time = "2009/05/21"
    • gtime = "2009/04/21"
       
  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NT LM Security  Support(RPC)\Security]
    • Security= 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 0000 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 0005 12 00 00 00 00 00 18 00 FF 01 0F 0
       
  • [HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NT LM Security  Support(RPC)]
    • Type = 0x00000010
    • Start = 0x00000002
    • ErrorControl = 0x00000001
    • ImagePath = "%System%\runassrv.exe runsrv /name:"NT LM Security  Support(RPC)" /prinum:"32" /cmdline:"%System%\wupnmg.exe""
    • ObjectName = "LocalSystem"
       
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NT LM Security  Support(RPC)\Security]
    • Security= 01 00 14 80 90 00 00 00 9C 00 00 00 14 00 00 00 30 00 00 00 02 00 1C00 01 00 00 00 02 80 14 00 FF 01 0F 00 01 01 00 00 00 00 00 01 00 00 0000 02 00 60 00 04 00 00 00 00 00 14 00 FD 01 02 00 01 01 00 00 00 00 0005 12 00 00 00 00 00 18 00 FF 01 0F 0
       
  • [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\NT LM Security  Support(RPC)]
    • Type = 0x00000010
    • Start = 0x00000002
    • ErrorControl = 0x00000001
    • ImagePath = "%System%\runassrv.exe runsrv /name:"NT LM Security  Support(RPC)" /prinum:"32" /cmdline:"%System%\wupnmg.exe""
    • ObjectName = "LocalSystem"
       
  • [HKEY_CURRENT_USER\Software\Microsoft\Internet  Explorer\SearchScopes\{402128F8-5DD7-4039-B4BE-80E4366186AF}]
    • URL = "http://www.go2000.cn/p/?q={searchTerms}"
    • Codepage = 0x0000FDE9
       
  • [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
    • DefaultScope = "{402128F8-5DD7-4039-B4BE-80E4366186AF}"
    • Version = 0x00000001
       
下面注册表被修改:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main]
Start Page = "about:wz"

注:1.ps日志和ssm日志在两个不同的虚拟机实验得出的,sreng日志和ssm日志在同一虚拟机中得出的
       2.小心得:sreng日志可以用word比较功能方便的找出新增项,对改动项也有帮助

补充:
1.分析样本:附件255
2.跳过
3.分析环境:

虚拟机1:Windows XP Professional Service Pack 3 (Build 2600) 【ssm,sreng】
虚拟机2:深度xp sp3 精简系统【rtd】



4.我也不知道..
5.再说..发现rtd漏了一步..
具体行为过程分析:
样本运行
修改注册表首页
修改注册表defaultScope
修改搜索设置
创建注册表值
启动程序wupnmg.exe
加载dll
启动cmd
runassrv.exe运行
加载系统服务

以上仅是主要行为,具体见图片附件..ssm截图太大了..如有需要再上传

[ 本帖最后由 asinasina 于 2009-5-25 12:02 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +30 魅力 +1 收起 理由
aarwwefdds + 30 + 1 获奖,另外你是想要费尔序列号3个月还是江

查看全部评分

zeadstone
发表于 2009-5-24 19:06:06 | 显示全部楼层
学习中
小v可
发表于 2009-5-24 19:07:33 | 显示全部楼层
不会啊!
myhehanlin
发表于 2009-5-24 19:09:47 | 显示全部楼层
不会分析,旁观,学习学习
llzy3575
发表于 2009-5-24 19:14:06 | 显示全部楼层
只能支持了
behind411
发表于 2009-5-24 20:02:49 | 显示全部楼层
不会
但是要参加 就有意义!!!
cjwczm
发表于 2009-5-24 20:08:08 | 显示全部楼层
积极等待参加!
evanle
发表于 2009-5-24 20:11:16 | 显示全部楼层
强烈关注中~~~~
甜酸排骨
发表于 2009-5-24 20:17:34 | 显示全部楼层
不会呀?有么人搞个教程来看看
何必在乎我是谁
发表于 2009-5-24 20:38:44 | 显示全部楼层
能不能弄个通俗点的,偶不会呀
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 16:14 , Processed in 0.085947 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表