【论坛三周年样本区】样本分析大赛【阶段1完毕，阶段2正在进行】【新增活动奖励】

显示全部楼层 · 发表于 2009-5-27 15:12:12

强势围观

显示全部楼层 · 发表于 2009-5-27 15:16:11

重在参与，我关注一下！

显示全部楼层 · 发表于 2009-5-27 18:14:17

没那么深程度学习中。。。。。

显示全部楼层 · 发表于 2009-5-27 19:17:40

原帖由 ximo 于 2009-5-24 17:40 发表
占位看大牛们表演。。。

ximo大牛在装嫩

显示全部楼层 · 发表于 2009-5-27 19:20:36

捣乱

显示全部楼层 · 发表于 2009-5-27 20:08:12

学习了

显示全部楼层 · 发表于 2009-5-27 21:34:36

顺便看看？

显示全部楼层 · 发表于 2009-5-28 05:58:45

第一次参加有很多地方不懂,请各位大牛见谅
=======================================================================

分析环境:VMware 6.0
操作系统:深度系统xp 6.2
分析工具:EQ Secure 4.1

1)病毒首先调用cmd共享C:\windows跟临时文件夹
命令行:/c cacls C:\WINDOWS /e /p everyone:f
命令行:/c cacls "e:\Temp\" /e /p everyone:f

2)用taskkill关闭ESET的服务并结束进程跟瑞星的进程
命令行:/c sc config ekrn start= disabled
命令行:/c taskkill /im ekrn.exe /f
命令行:/c taskkill /im egui.exe /f
命令行:/c taskkill /im ScanFrm.exe /f

3)创建以下文件
C:\WINDOWS\system32\func.dll
C:\WINDOWS\phpi.dll
C:\WINDOWS\system32\drivers\pcidump.sys
C:\1.exe
C:\autorun.inf
E:\1.exe
E:\autorun.inf

4)调用rundll.exe加载func.dll
命令行:func.dll, droqp

5)修改host文件,修改如下
127.0.0.1    v.onondown.com.cn
127.0.0.2    ymsdasdw1.cn
127.0.0.3    h96b.info
127.0.0.0    fuck.zttwp.cn
127.0.0.0    www.hackerbf.cn
127.0.0.0    geekbyfeng.cn
127.0.0.0    121.14.101.68
127.0.0.0    ppp.etimes888.com
127.0.0.0    www.bypk.com
127.0.0.0    CSC3-2004-crl.verisign.com
127.0.0.1    va9sdhun23.cn
127.0.0.0    udp.hjob123.com
127.0.0.2    bnasnd83nd.cn
127.0.0.0    www.gamehacker.com.cn
127.0.0.0    gamehacker.com.cn
127.0.0.3    adlaji.cn
127.0.0.1    858656.com
127.1.1.1    bnasnd83nd.cn
127.0.0.1    my123.com
127.0.0.0    user1.12-27.net
127.0.0.1    8749.com
127.0.0.0    fengent.cn
127.0.0.1    4199.com
127.0.0.1    user1.16-22.net
127.0.0.1    7379.com
127.0.0.1    2be37c5f.3f6e2cc5f0b.com
127.0.0.1    7255.com
127.0.0.1    user1.23-12.net
127.0.0.1    3448.com
127.0.0.1    www.guccia.net
127.0.0.1    7939.com
127.0.0.1    a.o1o1o1.nEt
127.0.0.1    8009.com
127.0.0.1    user1.12-73.cn
127.0.0.1    piaoxue.com
127.0.0.1    3n8nlasd.cn
127.0.0.1    kzdh.com
127.0.0.0    www.sony888.cn
127.0.0.1    about.blank.la
127.0.0.0    user1.asp-33.cn
127.0.0.1    6781.com
127.0.0.0    www.netkwek.cn
127.0.0.1    7322.com
127.0.0.0    ymsdkad6.cn
127.0.0.1    localhost
127.0.0.0    www.lkwueir.cn
127.0.0.1    06.jacai.com
127.0.1.1    user1.23-17.net
127.0.0.1    1.jopenkk.com
127.0.0.0    upa.luzhiai.net
127.0.0.1    1.jopenqc.com
127.0.0.0    www.guccia.net
127.0.0.1    1.joppnqq.com
127.0.0.0    4m9mnlmi.cn
127.0.0.1    1.xqhgm.com
127.0.0.0    mm119mkssd.cn
127.0.0.1    100.332233.com
127.0.0.0    61.128.171.115:8080
127.0.0.1    121.11.90.79
127.0.0.0    www.1119111.com
127.0.0.1    121565.net
127.0.0.0    win.nihao69.cn
127.0.0.1    125.90.88.38
127.0.0.1    16888.6to23.com
127.0.0.1    2.joppnqq.com
127.0.0.0    puc.lianxiac.net
127.0.0.1    204.177.92.68
127.0.0.0    pud.lianxiac.net
127.0.0.1    210.74.145.236
127.0.0.0    210.76.0.133
127.0.0.1    219.129.239.220
127.0.0.0    61.166.32.2
127.0.0.1    219.153.40.221
127.0.0.0    218.92.186.27
127.0.0.1    219.153.46.27
127.0.0.0    www.fsfsfag.cn
127.0.0.1    219.153.52.123
127.0.0.0    ovo.ovovov.cn
127.0.0.1    221.195.42.71
127.0.0.0    dw.com.com
127.0.0.1    222.73.218.115
127.0.0.1    203.110.168.233:80
127.0.0.1    3.joppnqq.com
127.0.0.1    203.110.168.221:80
127.0.0.1    363xx.com
127.0.0.1    www1.ip10086.com.cm
127.0.0.1    4199.com
127.0.0.1    blog.ip10086.com.cn
127.0.0.1    43242.com
127.0.0.1    www.ccji68.cn
127.0.0.1    5.xqhgm.com
127.0.0.0    t.myblank.cn
127.0.0.1    520.mm5208.com
127.0.0.0    x.myblank.cn
127.0.0.1    59.34.131.54
127.0.0.1    210.51.45.5
127.0.0.1    59.34.198.228
127.0.0.1    www.ew1q.cn
127.0.0.1    59.34.198.88
127.0.0.1    59.34.198.97
127.0.0.1    60.190.114.101
127.0.0.1    60.190.218.34
127.0.0.0    qq-xing.com.cn
127.0.0.1    60.191.124.252
127.0.0.1    61.145.117.212
127.0.0.1    61.157.109.222
127.0.0.1    75.126.3.216
127.0.0.1    75.126.3.217
127.0.0.1    75.126.3.218
127.0.0.0    59.125.231.177:17777
127.0.0.1    75.126.3.220
127.0.0.1    75.126.3.221
127.0.0.1    75.126.3.222
127.0.0.1    772630.com
127.0.0.1    832823.cn
127.0.0.1    8749.com
127.0.0.1    888.jopenqc.com
127.0.0.1    89382.cn
127.0.0.1    8v8.biz
127.0.0.1    97725.com
127.0.0.1    9gg.biz
127.0.0.1    www.9000music.com
127.0.0.1    test.591jx.com
127.0.0.1    a.topxxxx.cn
127.0.0.1    picon.chinaren.com
127.0.0.1    www.5566.net
127.0.0.1    p.qqkx.com
127.0.0.1    news.netandtv.com
127.0.0.1    z.neter888.cn
127.0.0.1    b.myblank.cn
127.0.0.1    wvw.wokutu.com
127.0.0.1    unionch.qyule.com
127.0.0.1    www.qyule.com
127.0.0.1    it.itjc.cn
127.0.0.1    www.linkwww.com
127.0.0.1    vod.kaicn.com
127.0.0.1    www.tx8688.com
127.0.0.1    b.neter888.cn
127.0.0.1    promote.huanqiu.com
127.0.0.1    www.huanqiu.com
127.0.0.1    www.haokanla.com
127.0.0.1    play.unionsky.cn
127.0.0.1    www.52v.com
127.0.0.1    www.gghka.cn
127.0.0.1    icon.ajiang.net
127.0.0.1    new.ete.cn
127.0.0.1    www.stiae.cn
127.0.0.1    o.neter888.cn
127.0.0.1    comm.jinti.com
127.0.0.1    www.google-analytics.com
127.0.0.1    hz.mmstat.com
127.0.0.1    www.game175.cn
127.0.0.1    x.neter888.cn
127.0.0.1    z.neter888.cn
127.0.0.1    p.etimes888.com
127.0.0.1    hx.etimes888.com
127.0.0.1    abc.qqkx.com
127.0.0.1    dm.popdm.cn
127.0.0.1    www.yl9999.com
127.0.0.1    www.dajiadoushe.cn
127.0.0.1    v.onondown.com.cn
127.0.0.1    www.interoo.net
127.0.0.1    bally1.bally-bally.net
127.0.0.1    www.bao5605509.cn
127.0.0.1    www.rty456.cn
127.0.0.1    www.werqwer.cn
127.0.0.1    1.360-1.cn
127.0.0.1    user1.23-16.net
127.0.0.1    www.guccia.net
127.0.0.1    www.interoo.net
127.0.0.1    upa.netsool.net
127.0.0.1    js.users.51.la
127.0.0.1    vip2.51.la
127.0.0.1    web.51.la
127.0.0.1    qq.gong2008.com
127.0.0.1    2008tl.copyip.com
127.0.0.1    tla.laozihuolaile.cn
127.0.0.1    www.tx6868.cn
127.0.0.1    p001.tiloaiai.com
127.0.0.1    s1.tl8tl.com
127.0.0.1    s1.gong2008.com
127.0.0.1    4b3ce56f9g.3f6e2cc5f0b.com
127.0.0.1    2be37c5f.3f6e2cc5f0b.com

6)运行ipconfig/all获取本机网络相关信息(如IP,MAC,DNS.....)

7)开始全盘感染exe文件
感染后,exe仍然可以运行,但会自动联网下载xp.exe跟一个8位随即名的木马

8)联网下载木马并运行
E:\Temporary Internet Files\Content.IE5\4H23OT63\aa1.exe
E:\Temporary Internet Files\Content.IE5\4H23OT63\CA8DQZCH.exe
--------------------------------------------------
aa1.exe的行为:
1)创建1个随机名字体文件和1个随机名的dll
C:\WINDOWS\fonts\keBWdF44M9jK.Ttf
C:\WINDOWS\system32\b4QcUJ5wmqh8wJCk.dll

2)b4QcUJ5wmqh8wJCk.dll安装全局钩子
钩子类型:WH_GETMESSAGE

3)通过注册表创建键值添加启动(当explorer运行时加载)
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{3816D07B-D6F9-403B-B7D7-EDE52959341B}

4)调用cmd删除本身
命令行: /c del E:\TEMPOR~1\Content.IE5\ODUNC9YF\AA1_1_~1.EXE >> NUL
-----------------------------------------------
CA8DQZCH.exe的行为:
1)创建的文件:
文件路径:C:\Documents and Settings\Administrator\Application Data\Spy2009.dll

2)Spy2009.dll安装全局钩子
钩子类型:WH_GETMESSAGE

[ 本帖最后由 elst5523183 于 2009-5-29 05:02 编辑 ]

显示全部楼层 · 发表于 2009-5-28 09:03:19

裸奔着

仔细看了看
好难好麻烦

显示全部楼层 · 发表于 2009-5-28 09:49:43

我不懂怎么参加？观看吧！

[版主公告] 【论坛三周年样本区】样本分析大赛【阶段1完毕，阶段2正在进行】【新增活动奖励】

本帖子中包含更多资源

评分

浏览过的版块