楼主: 雨宫优子
收起左侧

[版主公告] 【论坛三周年样本区】样本分析大赛【阶段1完毕,阶段2正在进行】【新增活动奖励】

 关闭 [复制链接]
凝逸反毒
发表于 2009-5-29 16:58:55 | 显示全部楼层

凝逸反毒Win32.HLLW.WaceE(MMM.MMM)病毒样本分析报告与修复工具

凝逸反毒Win32.HLLW.WaceE(MMM.MMM)病毒样本分析报告与修复工具

1: 分析环境是xp2,分析工具是易语言自写的小工具

2:概述:
  MMM.MMM病毒
  病毒名: Win32.HLLW.Wace,Worm.Win32.AutoRun.ubh,Win32.Troj.Downloader.cf.978944,Worm.Win32.AutoRun.yze,Win32.AutoRun.NC 蠕虫 ,MMM.MMM
  目前还在变种流行,最初会先感染rar ,现在好象直接感染所有exe,在文件尾加入毒节  .MMM
  凝逸反毒.修复Win32.HLLW.WaceE感染1.0 对变种不能修复,所以更新到1.1版,以能通用修复!


===========修复工具==============

        凝逸反毒.修复Win32.HLLW.WaceE(MMM.MMM)感染1.1
感染引擎: 修复Win32.HLLW.Wace病毒
引擎作者: 凝逸
  病毒名: Win32.HLLW.Wace,Worm.Win32.AutoRun.ubh,Win32.Troj.Downloader.cf.978944,Worm.Win32.AutoRun.yze,Win32.AutoRun.NC 蠕虫 ,MMM.MMM
    功能: 修复Win32.HLLW.Wace感染的EXE,有一些感染坏了,就修复不了!
    清除: 一建[清除病毒]
1.1版 对变种作通用性升级!
注意:先试修复几个exe,如不能运行为新变种,请联络凝逸开发出新的修复引擎!
修复方法:

  [专杀]
      ->修复Win32.HLLW.Wace

          再 修复所有exe
  [扫描]
       ->扫描病毒
          把 c:\ 下的木马杀了
从开机 在把凝逸反毒在解出来,在扫一次
---
如有 ghost或一键还原,可用
  [扫描]
       ->黑洞
          把 把木马杀了, 从开机时在还原系,
---

主页:http://hi.baidu.com/503165656
   
凝逸BBS:http://nyav.uu1001.cn/
技术支持QQ:503165656
反病毒QQ群:31168828
(创建于:2007-01)
=============




========PE格式分析==========
文件头分析【PE Headers】
      文件格式                 :unknown signature, probably MS-DOS
      DOS_HEADER 文件头长度    :512
      文件运行所要求的CPU      :Intel 80386 处理器或更高
      节数目                   :9
      文件创建的时间           :2006年8月16日2时0分30秒
      OptionalHeader 结构大小  :E0
      文件信息的标记           :30E
      标志字                   :10B
      连接器版本号             :5.0
      代码段长度               :185000
      已初始化数据块大小       :29000
      未初始化数据块大小       :0
    ★程序入口  [EntryCodeData]:003D5E5E
      代码段起始   [BaseOfCode]:00001000
      数据库段起始 [BaseOfData]:00186000
    ★优先装载地址  [ImageBase]:00400000
      内存中节对齐粒度         :1000
      文件中节对齐粒度         :200
      系统所需版本号           :4.0
      自定义版本号             :0.0
      子系统所需版本号         :4.0
      内存中PE映像体的尺寸     :3D6082
      所有头+节表的大小        :600
      校验和                   :0
      文件系统                 :IMAGE_SUBSYSTEM_WINDOWS_GUI
      DLL特性                  :0
      保留栈的大小             :100000
      初始时指定栈大小         :2000
      保留堆的大小             :100000
      指定堆大小               :1000
      加载器标志               :0
      Rva数和大小              :10
分析节表【Section Table】
序号   名称  代码地址  代码长度  文件偏移  文件长度  内存属性
  1    .text  00001000  00185000  00000600  00184C00  60000020
  2    .data  00186000  00029000  00185200  00024200  C0000040
  3     .tls  001AF000  00001000  001A9400  00000200  C0000040
  4   .rdata  001B0000  00001000  001A9600  00000200  50000040
  5   .idata  001B1000  00004000  001A9800  00003A00  40000040
  6   .edata  001B5000  0003C000  001AD200  0003B800  40000040
  7    .rsrc  001F1000  001C2018  001E8A00  001C1A18  40000040
  8   .reloc  003B4000  0001B000  003AA600  0001B000  50000040
  9     .MMM  003CF000  00007082  003C5600  00007082  E00000E0
分析导入表【Import Table】 Image Thunk raw + ★ rva + Import by Name||Hint
动态链接库 :SKYMISC.DLL
      地址 :      001A995C     001B115C==> Report2WSC
动态链接库 :WS2_32.DLL
      地址 :      001A9988     001B1188==> Report2WSC
      地址 :      001A9990     001B118C==> WSAIoctl
      地址 :      001A9998     001B1190==> WSASocketA
      地址 :      001A99A0     001B1194==> WSASocketA
      地址 :      001A99A8     001B1198==> WSASocketA
      地址 :      001A99B0     001B119C==> WSASocketA
      地址 :      001A99B8     001B11A0==> WSASocketA
      地址 :      001A99C0     001B11A4==> WSASocketA
=============
生成木马
C:\WINDOWS\Fonts\9b8fd8070709598b9f5c5a64d77fe290\system\
windows.sys
dd.jpg
KB930.vxd
ctfmn.exe
MMM.MMM
===IFEO映像劫持一些杀毒软件 指向病毒文件=======
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe]    <IFEO[360rpt.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe]    <IFEO[360Safe.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe]    <IFEO[360tray.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\_AVP32.EXE]    <IFEO[_AVP32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\_AVPCC.EXE]    <IFEO[_AVPCC.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\_AVPM.EXE]    <IFEO[_AVPM.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ACKWIN32.EXE]    <IFEO[ACKWIN32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ANTI-TROJAN.EXE]    <IFEO[ANTI-TROJAN.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\APVXDWIN.EXE]    <IFEO[APVXDWIN.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AUTODOWN.EXE]    <IFEO[AUTODOWN.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVCONSOL.EXE]    <IFEO[AVCONSOL.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVE32.EXE]    <IFEO[AVE32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVGCTRL.EXE]    <IFEO[AVGCTRL.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVKSERV.EXE]    <IFEO[AVKSERV.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVNT.EXE]    <IFEO[AVNT.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVP.EXE]    <IFEO[AVP.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVP32.EXE]    <IFEO[AVP32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVPCC.EXE]    <IFEO[AVPCC.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVPDOS32.EXE]    <IFEO[AVPDOS32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVPM.EXE]    <IFEO[AVPM.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVPTC32.EXE]    <IFEO[AVPTC32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVPUPD.EXE]    <IFEO[AVPUPD.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVSCHED32.EXE]    <IFEO[AVSCHED32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVWIN95.EXE]    <IFEO[AVWIN95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVWUPD32.EXE]    <IFEO[AVWUPD32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\BLACKD.EXE]    <IFEO[BLACKD.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\BLACKICE.EXE]    <IFEO[BLACKICE.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CFIADMIN.EXE]    <IFEO[CFIADMIN.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CFIAUDIT.EXE]    <IFEO[CFIAUDIT.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CFINET.EXE]    <IFEO[CFINET.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CFINET32.EXE]    <IFEO[CFINET32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CLAW95.EXE]    <IFEO[CLAW95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CLAW95CF.EXE]    <IFEO[CLAW95CF.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CLEANER.EXE]    <IFEO[CLEANER.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CLEANER3.EXE]    <IFEO[CLEANER3.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DVP95.EXE]    <IFEO[DVP95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DVP95_0.EXE]    <IFEO[DVP95_0.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ECENGINE.EXE]    <IFEO[ECENGINE.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EGHOST.EXE]    <IFEO[EGHOST.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ESAFE.EXE]    <IFEO[ESAFE.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EXPWATCH.EXE]    <IFEO[EXPWATCH.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\F-AGNT95.EXE]    <IFEO[F-AGNT95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\F-PROT.EXE]    <IFEO[F-PROT.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\F-PROT95.EXE]    <IFEO[F-PROT95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\F-STOPW.EXE]    <IFEO[F-STOPW.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FESCUE.EXE]    <IFEO[FESCUE.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FINDVIRU.EXE]    <IFEO[FINDVIRU.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FP-WIN.EXE]    <IFEO[FP-WIN.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FPROT.EXE]    <IFEO[FPROT.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FRW.EXE]    <IFEO[FRW.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IAMAPP.EXE]    <IFEO[IAMAPP.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IAMSERV.EXE]    <IFEO[IAMSERV.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IBMASN.EXE]    <IFEO[IBMASN.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IBMAVSP.EXE]    <IFEO[IBMAVSP.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ICLOAD95.EXE]    <IFEO[ICLOAD95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ICLOADNT.EXE]    <IFEO[ICLOADNT.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ICMON.EXE]    <IFEO[ICMON.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ICSUPP95.EXE]    <IFEO[ICSUPP95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ICSUPPNT.EXE]    <IFEO[ICSUPPNT.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IFACE.EXE]    <IFEO[IFACE.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IOMON98.EXE]    <IFEO[IOMON98.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.exe]    <IFEO[Iparmor.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\JEDI.EXE]    <IFEO[JEDI.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe]    <IFEO[KAV32.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.EXE]    <IFEO[KAVPFW.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVsvc.exe]    <IFEO[KAVsvc.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSvcUI.exe]    <IFEO[KAVSvcUI.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVFW.EXE]    <IFEO[KVFW.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.exe]    <IFEO[KVMonXP.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp]    <IFEO[KVMonXP.kxp]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.exe]    <IFEO[KVSrvXP.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVwsc.exe]    <IFEO[KVwsc.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp]    <IFEO[KvXP.kxp]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatchUI.EXE]    <IFEO[KWatchUI.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LOCKDOWN2000.EXE]    <IFEO[LOCKDOWN2000.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Logo1_.exe]    <IFEO[Logo1_.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Logo_1.exe]    <IFEO[Logo_1.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LOOKOUT.EXE]    <IFEO[LOOKOUT.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LUALL.EXE]    <IFEO[LUALL.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MAILMON.EXE]    <IFEO[MAILMON.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MOOLIVE.EXE]    <IFEO[MOOLIVE.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPFTRAY.EXE]    <IFEO[MPFTRAY.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\N32SCANW.EXE]    <IFEO[N32SCANW.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapsvc.exe]    <IFEO[Navapsvc.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapw32.exe]    <IFEO[Navapw32.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVLU32.EXE]    <IFEO[NAVLU32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVNT.EXE]    <IFEO[NAVNT.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navw32.EXE]    <IFEO[navw32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVWNT.EXE]    <IFEO[NAVWNT.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NISUM.EXE]    <IFEO[NISUM.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NMain.exe]    <IFEO[NMain.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NORMIST.EXE]    <IFEO[NORMIST.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NUPGRADE.EXE]    <IFEO[NUPGRADE.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NVC95.EXE]    <IFEO[NVC95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PAVCL.EXE]    <IFEO[PAVCL.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PAVSCHED.EXE]    <IFEO[PAVSCHED.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PAVW.EXE]    <IFEO[PAVW.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCCWIN98.EXE]    <IFEO[PCCWIN98.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCFWALLICON.EXE]    <IFEO[PCFWALLICON.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PERSFW.EXE]    <IFEO[PERSFW.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.EXE]    <IFEO[PFW.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe]    <IFEO[Rav.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAV7.EXE]    <IFEO[RAV7.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAV7WIN.EXE]    <IFEO[RAV7WIN.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAVmon.exe]    <IFEO[RAVmon.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAVmonD.exe]    <IFEO[RAVmonD.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAVtimer.exe]    <IFEO[RAVtimer.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rising.exe]    <IFEO[Rising.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SAFEWEB.EXE]    <IFEO[SAFEWEB.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SCAN32.EXE]    <IFEO[SCAN32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SCAN95.EXE]    <IFEO[SCAN95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SCANPM.EXE]    <IFEO[SCANPM.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SCRSCAN.EXE]    <IFEO[SCRSCAN.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SERV95.EXE]    <IFEO[SERV95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SMC.EXE]    <IFEO[SMC.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SPHINX.EXE]    <IFEO[SPHINX.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SWEEP95.EXE]    <IFEO[SWEEP95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TBSCAN.EXE]    <IFEO[TBSCAN.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TCA.EXE]    <IFEO[TCA.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TDS2-98.EXE]    <IFEO[TDS2-98.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TDS2-NT.EXE]    <IFEO[TDS2-NT.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\THGUARD.EXE]    <IFEO[THGUARD.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojanHunter.exe]    <IFEO[TrojanHunter.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VET95.EXE]    <IFEO[VET95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VETTRAY.EXE]    <IFEO[VETTRAY.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VSCAN40.EXE]    <IFEO[VSCAN40.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VSECOMR.EXE]    <IFEO[VSECOMR.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VSHWIN32.EXE]    <IFEO[VSHWIN32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VSSTAT.EXE]    <IFEO[VSSTAT.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WEBSCANX.EXE]    <IFEO[WEBSCANX.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WFINDV32.EXE]    <IFEO[WFINDV32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ZONEALARM.EXE]    <IFEO[ZONEALARM.EXE]><c:\\MMM.exe>  [File is missing]
=============
==HOSTS 文件========
127.0.0.1  www.netclean.org.cn
127.0.0.1  www.netclean.cn   
127.0.0.1  www.kingdun.net   
127.0.0.1  www.168tgws.cn   
127.0.0.1  www.king6.com.cn  
127.0.0.1  www.netclean.com.cn  
127.0.0.1  www.lebi.cn     
127.0.0.1  www.feydj.com   
127.0.0.1  www.netclean.org.cn   
========

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2经验 +30 魅力 +1 人气 +1 收起 理由
aarwwefdds + 30 + 1 发奖
sanji24 + 1 很厉害...因为投给jerrysun了..人气补偿下.

查看全部评分

myhehanlin
发表于 2009-5-29 20:20:09 | 显示全部楼层
支持,看看分析!
冰泉
发表于 2009-5-29 21:01:48 | 显示全部楼层
我只是来观摩各位大师的杰作的,汗下
sd4264061
发表于 2009-5-29 21:49:36 | 显示全部楼层
前来学习一下高手的经验
lcming
发表于 2009-5-29 22:29:50 | 显示全部楼层

测试样本区的DL压缩包里的QQMO.exe

今天是投稿了最后一天了,赶上末班车咯,呵呵。

概览:本分析的样本属于仿冒一个正常程序实现映像劫持的病毒,有联网行为,可能会下载木马程序(我的虚拟机不能联网)

详细分析:
1、行为分析运行环境:虚拟机VM 系统是雨林的XP SP3 安装版YS8.0
2、样本分析方式:行为分析(HIPS是RTD PRO)
3、分析样本是样本区的DL压缩包里的QQMO.exe

开始分析:
第一步先是qqmo.exe启动了,然后对TXP1atform进行操作,创建删除等。如图,就在system32\drivers的文件夹下操作,危险程度不小哦。接着就是写文件,并进行启动。
然后TXP1atform.exe就调用系统的NET.exe程序,如图了。
写完一批文件后,NET.exe又调用NET1.exe程序,还有个命令行stop dmusic,真够复杂呢。
准备有第一波的精彩了,呵呵。TXP1atform.exe开始对注册表行动了,看下注册表的键,很明显就露出了狐狸尾巴了,进行映像劫持了。
TXP1atform.exe又写了JM.SYS驱动,看来,又有新的犯罪行为了,继续往下看。创建了一些映像劫持的键值。其中有某些著名的杀软,创建了avp32 avp kavstart kwatch kpf32,然后设置了劫持的位置Dmusic imagepath.
接着又是调用程序,一直调出NET1.exe,然后就对DMUSIC进行服务/驱动控制,又一高危动作了。
然后就一直创建注册表,设置注册表,这里就列举我喜欢的NOD为例子,看到NOD也被黑,难受呢。。。呜呜。
这样一直下去,看到了很多程序,有认识的,不认识的也一大把,呵呵,毕竟我不是杀软狂。其中一些“国产名牌”的QQ 360的一些相关程序当然我就认识了。
然后出了个好奇怪图,居然有个程序访问网络了,看它的域名,呵呵,真。。。。
继续往下看,TXP1atform.exe居然也删除HOSTS文件。并创建了些INI文件,奇怪的是,文件夹都是与硬件有关的,不知道是否想破坏啥啥啥哦。
那个可恶的TXP1atform终于调用IE访问网络了,地址是w??.ipshougou.com(?号是防止大家误点了哦!)
然后TXP1atform.exe又启动CMD,命令行net.exe /c net share D$ /del /y    TXP1atform.exe又调用IE并想进行底层磁盘访问,默认禁止了哈。
IE通过注册表设置URL到w??.ipshougou.com ,
紧跟的就是CMD调用NET ,NET调用NET1,AND  TXP1atform向一些程序发送消息。

Later,实现自启动,隐藏属性。
啊,这样就一直修改注册表,感觉应该动作差不多了,就一直允许,最后重启虚拟机里的系统。
回来,没什么异常,没杀软测试,只有运行一些常规软件了,运行系统自带的暴风和千千,都是说应用程序出错了,说明病毒的目的已经达到了哈。


总结下步骤:qqmo.exe启动后,就创建个TXP1atform.exe这个核心程序,一直进行操作,并调用CMD NET NET1等程序实现一些动作,对注册表创建和设置键值,达到映像劫持的目的,也联网,可能实现下载木马病毒。最后完善下实现自启动。

防御对策:一般HIPS都能拦截吧,特别是AD部分,陌生的程序肯定要注意了,更而且仿冒的那个程序是我最讨厌的QQ的垃圾程序,一般我都把那个程序删除的。至于注册表部分,映像劫持最好是用策略组设置为只读啦,更安全了,网上有相关的教程。

说明:个人感觉,日志可以免了,图已经比较详细了,加上本人一时大意,没复制日志了,后来就没有了,真郁闷。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +30 收起 理由
aarwwefdds + 30 末班车~~感谢参与!

查看全部评分

lcming
发表于 2009-5-29 22:45:06 | 显示全部楼层

分析样本去的DL压缩包的QQMO.EXE

今天是投稿了最后一天了,赶上末班车咯,呵呵。

概览:本分析的样本属于仿冒一个正常程序实现映像劫持的病毒,有联网行为,可能会下载木马程序(我的虚拟机不能联网)

详细分析:
1、行为分析运行环境:虚拟机VM 系统是雨林的XP SP3 安装版YS8.0
2、样本分析方式:行为分析(HIPS是RTD PRO)
3、分析样本是样本区的DL压缩包里的QQMO.exe

开始分析:
第一步先是qqmo.exe启动了,然后对TXP1atform进行操作,创建删除等。[localimg=503,214]2[/localimg]如图,就在system32\drivers的文件夹下操作,危险程度不小哦。接着就是写文件,并进行启动。[localimg=501,250]3[/localimg]
然后TXP1atform.exe就调用系统的NET.exe程序,如图了。[localimg=512,236]4[/localimg]
写完一批文件后,NET.exe又调用NET1.exe程序,还有个命令行stop dmusic,真够复杂呢。[localimg=496,237]5[/localimg]
准备有第一波的精彩了,呵呵。TXP1atform.exe开始对注册表行动了,看下注册表的键,很明显就露出了狐狸尾巴了,进行映像劫持了。[localimg=507,255]6[/localimg]
TXP1atform.exe又写了JM.SYS驱动,看来,又有新的犯罪行为了,继续往下看。创建了一些映像劫持的键值。其中有某些著名的杀软,[localimg=501,206]7[/localimg]创建了avp32 avp kavstart kwatch kpf32,然后设置了劫持的位置Dmusic imagepath.
接着又是调用程序,一直调出NET1.exe,然后就对DMUSIC进行服务/驱动控制,又一高危动作了。[localimg=506,231]8[/localimg]
然后就一直创建注册表,设置注册表,这里就列举我喜欢的NOD为例子,看到NOD也被黑,难受呢。。。呜呜。[localimg=510,202]9[/localimg][localimg=509,249]10[/localimg]
这样一直下去,看到了很多程序,有认识的,不认识的也一大把,呵呵,毕竟我不是杀软狂。其中一些“国产名牌”的QQ 360的一些相关程序当然我就认识了。
然后出了个好奇怪图,居然有个程序访问网络了,看它的域名,呵呵,真。。。。[localimg=508,219]11[/localimg]
继续往下看,TXP1atform.exe居然也删除HOSTS文件。并创建了些INI文件,奇怪的是,文件夹都是与硬件有关的,不知道是否想破坏啥啥啥哦。[localimg=504,213]12[/localimg]
那个可恶的TXP1atform终于调用IE访问网络了,地址是w??.ipshougou.com(?号是防止大家误点了哦!)[localimg=503,256]13[/localimg]
然后TXP1atform.exe又启动CMD,命令行net.exe /c net share D$ /del /y    TXP1atform.exe又调用IE并想进行底层磁盘访问,默认禁止了哈。[localimg=626,447]14[/localimg]
IE通过注册表设置URL到w??.ipshougou.com ,[localimg=510,255]15[/localimg]
紧跟的就是CMD调用NET ,NET调用NET1,AND  TXP1atform向一些程序发送消息。
[localimg=510,239]16[/localimg]
Later,实现自启动,隐藏属性。[localimg=506,201]17[/localimg][localimg=493,210]18[/localimg]
啊,这样就一直修改注册表,感觉应该动作差不多了,就一直允许,最后重启虚拟机里的系统。
回来,没什么异常,没杀软测试,只有运行一些常规软件了,运行系统自带的暴风和千千,都是说应用程序出错了,说明病毒的目的已经达到了哈。[localimg=457,111]19[/localimg]


总结下步骤:qqmo.exe启动后,就创建个TXP1atform.exe这个核心程序,一直进行操作,并调用CMD NET NET1等程序实现一些动作,对注册表创建和设置键值,达到映像劫持的目的,也联网,可能实现下载木马病毒。最后完善下实现自启动。

防御对策:一般HIPS都能拦截吧,特别是AD部分,陌生的程序肯定要注意了,更而且仿冒的那个程序是我最讨厌的QQ的垃圾程序,一般我都把那个程序删除的。至于注册表部分,映像劫持最好是用策略组设置为只读啦,更安全了,网上有相关的教程。

说明:个人感觉,日志可以免了,图已经比较详细了,加上本人一时大意,没复制日志了,后来就没有了,真郁闷。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
lcming
发表于 2009-5-29 22:47:27 | 显示全部楼层
网络卡了,居然发了两次,我想发所有图片的,有2M啊,上传不了,真可惜,本来想代替日志了,,,啊啊
lcming
发表于 2009-5-29 22:48:02 | 显示全部楼层

分析样本去的DL压缩包的QQMO.EXE

今天是投稿了最后一天了,赶上末班车咯,呵呵。

概览:本分析的样本属于仿冒一个正常程序实现映像劫持的病毒,有联网行为,可能会下载木马程序(我的虚拟机不能联网)

详细分析:
1、行为分析运行环境:虚拟机VM 系统是雨林的XP SP3 安装版YS8.0
2、样本分析方式:行为分析(HIPS是RTD PRO)
3、分析样本是样本区的DL压缩包里的QQMO.exe

开始分析:
第一步先是qqmo.exe启动了,然后对TXP1atform进行操作,创建删除等。如图,就在system32\drivers的文件夹下操作,危险程度不小哦。接着就是写文件,并进行启动。
然后TXP1atform.exe就调用系统的NET.exe程序,如图了。[localimg=512,236]4[/localimg]
写完一批文件后,NET.exe又调用NET1.exe程序,还有个命令行stop dmusic,真够复杂呢。[localimg=496,237]5[/localimg]
准备有第一波的精彩了,呵呵。TXP1atform.exe开始对注册表行动了,看下注册表的键,很明显就露出了狐狸尾巴了,进行映像劫持了。[localimg=507,255]6[/localimg]
TXP1atform.exe又写了JM.SYS驱动,看来,又有新的犯罪行为了,继续往下看。创建了一些映像劫持的键值。其中有某些著名的杀软,[localimg=501,206]7[/localimg]创建了avp32 avp kavstart kwatch kpf32,然后设置了劫持的位置Dmusic imagepath.
接着又是调用程序,一直调出NET1.exe,然后就对DMUSIC进行服务/驱动控制,又一高危动作了。[localimg=506,231]8[/localimg]
然后就一直创建注册表,设置注册表,这里就列举我喜欢的NOD为例子,看到NOD也被黑,难受呢。。。呜呜。[localimg=510,202]9[/localimg][localimg=509,249]10[/localimg]
这样一直下去,看到了很多程序,有认识的,不认识的也一大把,呵呵,毕竟我不是杀软狂。其中一些“国产名牌”的QQ 360的一些相关程序当然我就认识了。
然后出了个好奇怪图,居然有个程序访问网络了,看它的域名,呵呵,真。。。。[localimg=508,219]11[/localimg]
继续往下看,TXP1atform.exe居然也删除HOSTS文件。并创建了些INI文件,奇怪的是,文件夹都是与硬件有关的,不知道是否想破坏啥啥啥哦。[localimg=504,213]12[/localimg]
那个可恶的TXP1atform终于调用IE访问网络了,地址是w??.ipshougou.com(?号是防止大家误点了哦!)[localimg=503,256]13[/localimg]
然后TXP1atform.exe又启动CMD,命令行net.exe /c net share D$ /del /y    TXP1atform.exe又调用IE并想进行底层磁盘访问,默认禁止了哈。[localimg=626,447]14[/localimg]
IE通过注册表设置URL到w??.ipshougou.com ,[localimg=510,255]15[/localimg]
紧跟的就是CMD调用NET ,NET调用NET1,AND  TXP1atform向一些程序发送消息。
[localimg=510,239]16[/localimg]
Later,实现自启动,隐藏属性。[localimg=506,201]17[/localimg][localimg=493,210]18[/localimg]
啊,这样就一直修改注册表,感觉应该动作差不多了,就一直允许,最后重启虚拟机里的系统。
回来,没什么异常,没杀软测试,只有运行一些常规软件了,运行系统自带的暴风和千千,都是说应用程序出错了,说明病毒的目的已经达到了哈。[localimg=457,111]19[/localimg]


总结下步骤:qqmo.exe启动后,就创建个TXP1atform.exe这个核心程序,一直进行操作,并调用CMD NET NET1等程序实现一些动作,对注册表创建和设置键值,达到映像劫持的目的,也联网,可能实现下载木马病毒。最后完善下实现自启动。

防御对策:一般HIPS都能拦截吧,特别是AD部分,陌生的程序肯定要注意了,更而且仿冒的那个程序是我最讨厌的QQ的垃圾程序,一般我都把那个程序删除的。至于注册表部分,映像劫持最好是用策略组设置为只读啦,更安全了,网上有相关的教程。

说明:个人感觉,日志可以免了,图已经比较详细了,加上本人一时大意,没复制日志了,后来就没有了,真郁闷。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
hwdqjzx
发表于 2009-5-29 23:26:34 | 显示全部楼层
关注
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 16:00 , Processed in 0.086061 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表