【论坛三周年样本区】样本分析大赛【阶段1完毕，阶段2正在进行】【新增活动奖励】

显示全部楼层 · 发表于 2009-5-29 16:58:55

凝逸反毒Win32.HLLW.WaceE(MMM.MMM)病毒样本分析报告与修复工具

1: 分析环境是xp2，分析工具是易语言自写的小工具

2:概述:
  MMM.MMM病毒
  病毒名: Win32.HLLW.Wace,Worm.Win32.AutoRun.ubh,Win32.Troj.Downloader.cf.978944,Worm.Win32.AutoRun.yze,Win32.AutoRun.NC 蠕虫 ,MMM.MMM
  目前还在变种流行,最初会先感染rar ,现在好象直接感染所有exe,在文件尾加入毒节  .MMM
  凝逸反毒.修复Win32.HLLW.WaceE感染1.0 对变种不能修复,所以更新到1.1版,以能通用修复!

===========修复工具==============

      凝逸反毒.修复Win32.HLLW.WaceE(MMM.MMM)感染1.1
感染引擎: 修复Win32.HLLW.Wace病毒
引擎作者: 凝逸
  病毒名: Win32.HLLW.Wace,Worm.Win32.AutoRun.ubh,Win32.Troj.Downloader.cf.978944,Worm.Win32.AutoRun.yze,Win32.AutoRun.NC 蠕虫 ,MMM.MMM
功能: 修复Win32.HLLW.Wace感染的EXE,有一些感染坏了,就修复不了!
清除: 一建[清除病毒]
1.1版对变种作通用性升级!
注意:先试修复几个exe,如不能运行为新变种,请联络凝逸开发出新的修复引擎!
修复方法:

  [专杀]
   ->修复Win32.HLLW.Wace

      再修复所有exe
  [扫描]
   ->扫描病毒
      把 c:\ 下的木马杀了
从开机在把凝逸反毒在解出来,在扫一次
---
如有 ghost或一键还原,可用
  [扫描]
   ->黑洞
      把把木马杀了, 从开机时在还原系,
---

主页:http://hi.baidu.com/503165656

凝逸BBS:http://nyav.uu1001.cn/
技术支持QQ:503165656
反病毒QQ群:31168828
(创建于:2007-01)
=============

========PE格式分析==========
文件头分析【PE Headers】
   文件格式                ：unknown signature, probably MS-DOS
   DOS_HEADER 文件头长度：512
   文件运行所要求的CPU    ：Intel 80386 处理器或更高
   节数目                ：9
   文件创建的时间          ：2006年8月16日2时0分30秒
   OptionalHeader 结构大小  ：E0
   文件信息的标记          ：30E
   标志字                ：10B
   连接器版本号          ：5.0
   代码段长度             ：185000
   已初始化数据块大小    ：29000
   未初始化数据块大小    ：0
★程序入口  [EntryCodeData]：003D5E5E
   代码段起始 [BaseOfCode]：00001000
   数据库段起始 [BaseOfData]：00186000
★优先装载地址  [ImageBase]：00400000
   内存中节对齐粒度       ：1000
   文件中节对齐粒度       ：200
   系统所需版本号          ：4.0
   自定义版本号          ：0.0
   子系统所需版本号       ：4.0
   内存中PE映像体的尺寸    ：3D6082
   所有头+节表的大小       ：600
   校验和                ：0
   文件系统                ：IMAGE_SUBSYSTEM_WINDOWS_GUI
   DLL特性                ：0
   保留栈的大小          ：100000
   初始时指定栈大小       ：2000
   保留堆的大小          ：100000
   指定堆大小             ：1000
   加载器标志             ：0
   Rva数和大小             ：10
分析节表【Section Table】
序号名称  代码地址  代码长度  文件偏移  文件长度  内存属性
  1 .text  00001000  00185000  00000600  00184C00  60000020
  2 .data  00186000  00029000  00185200  00024200  C0000040
  3    .tls  001AF000  00001000  001A9400  00000200  C0000040
  4 .rdata  001B0000  00001000  001A9600  00000200  50000040
  5 .idata  001B1000  00004000  001A9800  00003A00  40000040
  6 .edata  001B5000  0003C000  001AD200  0003B800  40000040
  7 .rsrc  001F1000  001C2018  001E8A00  001C1A18  40000040
  8 .reloc  003B4000  0001B000  003AA600  0001B000  50000040
  9    .MMM  003CF000  00007082  003C5600  00007082  E00000E0
分析导入表【Import Table】 Image Thunk raw + ★ rva + Import by Name||Hint
动态链接库 :SKYMISC.DLL
   地址 :    001A995C    001B115C==> Report2WSC
动态链接库 :WS2_32.DLL
   地址 :    001A9988    001B1188==> Report2WSC
   地址 :    001A9990    001B118C==> WSAIoctl
   地址 :    001A9998    001B1190==> WSASocketA
   地址 :    001A99A0    001B1194==> WSASocketA
   地址 :    001A99A8    001B1198==> WSASocketA
   地址 :    001A99B0    001B119C==> WSASocketA
   地址 :    001A99B8    001B11A0==> WSASocketA
   地址 :    001A99C0    001B11A4==> WSASocketA
=============
生成木马
C:\WINDOWS\Fonts\9b8fd8070709598b9f5c5a64d77fe290\system\
windows.sys
dd.jpg
KB930.vxd
ctfmn.exe
MMM.MMM
===IFEO映像劫持一些杀毒软件指向病毒文件=======
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe] <IFEO[360rpt.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe] <IFEO[360Safe.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe] <IFEO[360tray.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\_AVP32.EXE] <IFEO[_AVP32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\_AVPCC.EXE] <IFEO[_AVPCC.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\_AVPM.EXE] <IFEO[_AVPM.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ACKWIN32.EXE] <IFEO[ACKWIN32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ANTI-TROJAN.EXE] <IFEO[ANTI-TROJAN.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\APVXDWIN.EXE] <IFEO[APVXDWIN.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AUTODOWN.EXE] <IFEO[AUTODOWN.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVCONSOL.EXE] <IFEO[AVCONSOL.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVE32.EXE] <IFEO[AVE32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVGCTRL.EXE] <IFEO[AVGCTRL.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVKSERV.EXE] <IFEO[AVKSERV.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVNT.EXE] <IFEO[AVNT.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVP.EXE] <IFEO[AVP.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVP32.EXE] <IFEO[AVP32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVPCC.EXE] <IFEO[AVPCC.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVPDOS32.EXE] <IFEO[AVPDOS32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVPM.EXE] <IFEO[AVPM.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVPTC32.EXE] <IFEO[AVPTC32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVPUPD.EXE] <IFEO[AVPUPD.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVSCHED32.EXE] <IFEO[AVSCHED32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVWIN95.EXE] <IFEO[AVWIN95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVWUPD32.EXE] <IFEO[AVWUPD32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\BLACKD.EXE] <IFEO[BLACKD.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\BLACKICE.EXE] <IFEO[BLACKICE.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CFIADMIN.EXE] <IFEO[CFIADMIN.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CFIAUDIT.EXE] <IFEO[CFIAUDIT.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CFINET.EXE] <IFEO[CFINET.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CFINET32.EXE] <IFEO[CFINET32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CLAW95.EXE] <IFEO[CLAW95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CLAW95CF.EXE] <IFEO[CLAW95CF.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CLEANER.EXE] <IFEO[CLEANER.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CLEANER3.EXE] <IFEO[CLEANER3.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DVP95.EXE] <IFEO[DVP95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DVP95_0.EXE] <IFEO[DVP95_0.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ECENGINE.EXE] <IFEO[ECENGINE.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EGHOST.EXE] <IFEO[EGHOST.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ESAFE.EXE] <IFEO[ESAFE.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EXPWATCH.EXE] <IFEO[EXPWATCH.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\F-AGNT95.EXE] <IFEO[F-AGNT95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\F-PROT.EXE] <IFEO[F-PROT.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\F-PROT95.EXE] <IFEO[F-PROT95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\F-STOPW.EXE] <IFEO[F-STOPW.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FESCUE.EXE] <IFEO[FESCUE.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FINDVIRU.EXE] <IFEO[FINDVIRU.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FP-WIN.EXE] <IFEO[FP-WIN.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FPROT.EXE] <IFEO[FPROT.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FRW.EXE] <IFEO[FRW.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IAMAPP.EXE] <IFEO[IAMAPP.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IAMSERV.EXE] <IFEO[IAMSERV.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IBMASN.EXE] <IFEO[IBMASN.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IBMAVSP.EXE] <IFEO[IBMAVSP.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ICLOAD95.EXE] <IFEO[ICLOAD95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ICLOADNT.EXE] <IFEO[ICLOADNT.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ICMON.EXE] <IFEO[ICMON.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ICSUPP95.EXE] <IFEO[ICSUPP95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ICSUPPNT.EXE] <IFEO[ICSUPPNT.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IFACE.EXE] <IFEO[IFACE.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IOMON98.EXE] <IFEO[IOMON98.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.exe] <IFEO[Iparmor.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\JEDI.EXE] <IFEO[JEDI.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe] <IFEO[KAV32.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.EXE] <IFEO[KAVPFW.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVsvc.exe] <IFEO[KAVsvc.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSvcUI.exe] <IFEO[KAVSvcUI.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVFW.EXE] <IFEO[KVFW.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.exe] <IFEO[KVMonXP.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp] <IFEO[KVMonXP.kxp]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.exe] <IFEO[KVSrvXP.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVwsc.exe] <IFEO[KVwsc.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp] <IFEO[KvXP.kxp]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatchUI.EXE] <IFEO[KWatchUI.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LOCKDOWN2000.EXE] <IFEO[LOCKDOWN2000.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Logo1_.exe] <IFEO[Logo1_.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Logo_1.exe] <IFEO[Logo_1.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LOOKOUT.EXE] <IFEO[LOOKOUT.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LUALL.EXE] <IFEO[LUALL.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MAILMON.EXE] <IFEO[MAILMON.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MOOLIVE.EXE] <IFEO[MOOLIVE.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPFTRAY.EXE] <IFEO[MPFTRAY.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\N32SCANW.EXE] <IFEO[N32SCANW.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapsvc.exe] <IFEO[Navapsvc.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapw32.exe] <IFEO[Navapw32.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVLU32.EXE] <IFEO[NAVLU32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVNT.EXE] <IFEO[NAVNT.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navw32.EXE] <IFEO[navw32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVWNT.EXE] <IFEO[NAVWNT.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NISUM.EXE] <IFEO[NISUM.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NMain.exe] <IFEO[NMain.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NORMIST.EXE] <IFEO[NORMIST.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NUPGRADE.EXE] <IFEO[NUPGRADE.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NVC95.EXE] <IFEO[NVC95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PAVCL.EXE] <IFEO[PAVCL.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PAVSCHED.EXE] <IFEO[PAVSCHED.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PAVW.EXE] <IFEO[PAVW.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCCWIN98.EXE] <IFEO[PCCWIN98.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCFWALLICON.EXE] <IFEO[PCFWALLICON.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PERSFW.EXE] <IFEO[PERSFW.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.EXE] <IFEO[PFW.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe] <IFEO[Rav.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAV7.EXE] <IFEO[RAV7.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAV7WIN.EXE] <IFEO[RAV7WIN.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAVmon.exe] <IFEO[RAVmon.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAVmonD.exe] <IFEO[RAVmonD.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAVtimer.exe] <IFEO[RAVtimer.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rising.exe] <IFEO[Rising.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SAFEWEB.EXE] <IFEO[SAFEWEB.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SCAN32.EXE] <IFEO[SCAN32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SCAN95.EXE] <IFEO[SCAN95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SCANPM.EXE] <IFEO[SCANPM.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SCRSCAN.EXE] <IFEO[SCRSCAN.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SERV95.EXE] <IFEO[SERV95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SMC.EXE] <IFEO[SMC.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SPHINX.EXE] <IFEO[SPHINX.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SWEEP95.EXE] <IFEO[SWEEP95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TBSCAN.EXE] <IFEO[TBSCAN.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TCA.EXE] <IFEO[TCA.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TDS2-98.EXE] <IFEO[TDS2-98.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TDS2-NT.EXE] <IFEO[TDS2-NT.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\THGUARD.EXE] <IFEO[THGUARD.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojanHunter.exe] <IFEO[TrojanHunter.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VET95.EXE] <IFEO[VET95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VETTRAY.EXE] <IFEO[VETTRAY.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VSCAN40.EXE] <IFEO[VSCAN40.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VSECOMR.EXE] <IFEO[VSECOMR.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VSHWIN32.EXE] <IFEO[VSHWIN32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VSSTAT.EXE] <IFEO[VSSTAT.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WEBSCANX.EXE] <IFEO[WEBSCANX.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WFINDV32.EXE] <IFEO[WFINDV32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ZONEALARM.EXE] <IFEO[ZONEALARM.EXE]><c:\\MMM.exe>  [File is missing]
=============
==HOSTS 文件========
127.0.0.1  www.netclean.org.cn
127.0.0.1  www.netclean.cn
127.0.0.1  www.kingdun.net
127.0.0.1  www.168tgws.cn
127.0.0.1  www.king6.com.cn
127.0.0.1  www.netclean.com.cn
127.0.0.1  www.lebi.cn
127.0.0.1  www.feydj.com
127.0.0.1  www.netclean.org.cn
========

显示全部楼层 · 发表于 2009-5-29 20:20:09

支持，看看分析！

显示全部楼层 · 发表于 2009-5-29 21:01:48

我只是来观摩各位大师的杰作的，汗下

显示全部楼层 · 发表于 2009-5-29 21:49:36

前来学习一下高手的经验

显示全部楼层 · 发表于 2009-5-29 22:29:50

今天是投稿了最后一天了，赶上末班车咯，呵呵。

概览：本分析的样本属于仿冒一个正常程序实现映像劫持的病毒，有联网行为，可能会下载木马程序（我的虚拟机不能联网）

详细分析：
1、行为分析运行环境：虚拟机VM 系统是雨林的XP SP3 安装版YS8.0
2、样本分析方式：行为分析（HIPS是RTD PRO）
3、分析样本是样本区的DL压缩包里的QQMO.exe

开始分析：
第一步先是qqmo.exe启动了，然后对TXP1atform进行操作，创建删除等。如图，就在system32\drivers的文件夹下操作，危险程度不小哦。接着就是写文件，并进行启动。
然后TXP1atform.exe就调用系统的NET.exe程序，如图了。
写完一批文件后，NET.exe又调用NET1.exe程序，还有个命令行stop dmusic，真够复杂呢。
准备有第一波的精彩了，呵呵。TXP1atform.exe开始对注册表行动了，看下注册表的键，很明显就露出了狐狸尾巴了，进行映像劫持了。
TXP1atform.exe又写了JM.SYS驱动，看来，又有新的犯罪行为了，继续往下看。创建了一些映像劫持的键值。其中有某些著名的杀软，创建了avp32 avp kavstart kwatch kpf32,然后设置了劫持的位置Dmusic imagepath.
接着又是调用程序，一直调出NET1.exe，然后就对DMUSIC进行服务/驱动控制，又一高危动作了。
然后就一直创建注册表，设置注册表，这里就列举我喜欢的NOD为例子，看到NOD也被黑，难受呢。。。呜呜。
这样一直下去，看到了很多程序，有认识的，不认识的也一大把，呵呵，毕竟我不是杀软狂。其中一些“国产名牌”的QQ 360的一些相关程序当然我就认识了。
然后出了个好奇怪图，居然有个程序访问网络了，看它的域名，呵呵，真。。。。
继续往下看，TXP1atform.exe居然也删除HOSTS文件。并创建了些INI文件，奇怪的是，文件夹都是与硬件有关的，不知道是否想破坏啥啥啥哦。
那个可恶的TXP1atform终于调用IE访问网络了，地址是w??.ipshougou.com(？号是防止大家误点了哦！)
然后TXP1atform.exe又启动CMD，命令行net.exe /c net share D$ /del /y TXP1atform.exe又调用IE并想进行底层磁盘访问，默认禁止了哈。
IE通过注册表设置URL到w??.ipshougou.com ,
紧跟的就是CMD调用NET ,NET调用NET1，AND TXP1atform向一些程序发送消息。

Later,实现自启动，隐藏属性。
啊，这样就一直修改注册表，感觉应该动作差不多了，就一直允许，最后重启虚拟机里的系统。
回来，没什么异常，没杀软测试，只有运行一些常规软件了，运行系统自带的暴风和千千，都是说应用程序出错了，说明病毒的目的已经达到了哈。

总结下步骤：qqmo.exe启动后，就创建个TXP1atform.exe这个核心程序，一直进行操作，并调用CMD NET NET1等程序实现一些动作，对注册表创建和设置键值，达到映像劫持的目的，也联网，可能实现下载木马病毒。最后完善下实现自启动。

防御对策：一般HIPS都能拦截吧，特别是AD部分，陌生的程序肯定要注意了，更而且仿冒的那个程序是我最讨厌的QQ的垃圾程序，一般我都把那个程序删除的。至于注册表部分，映像劫持最好是用策略组设置为只读啦，更安全了，网上有相关的教程。

说明：个人感觉，日志可以免了，图已经比较详细了，加上本人一时大意，没复制日志了，后来就没有了，真郁闷。

显示全部楼层 · 发表于 2009-5-29 22:45:06

今天是投稿了最后一天了，赶上末班车咯，呵呵。

概览：本分析的样本属于仿冒一个正常程序实现映像劫持的病毒，有联网行为，可能会下载木马程序（我的虚拟机不能联网）

详细分析：
1、行为分析运行环境：虚拟机VM 系统是雨林的XP SP3 安装版YS8.0
2、样本分析方式：行为分析（HIPS是RTD PRO）
3、分析样本是样本区的DL压缩包里的QQMO.exe

开始分析：
第一步先是qqmo.exe启动了，然后对TXP1atform进行操作，创建删除等。[localimg=503,214]2[/localimg]如图，就在system32\drivers的文件夹下操作，危险程度不小哦。接着就是写文件，并进行启动。[localimg=501,250]3[/localimg]
然后TXP1atform.exe就调用系统的NET.exe程序，如图了。[localimg=512,236]4[/localimg]
写完一批文件后，NET.exe又调用NET1.exe程序，还有个命令行stop dmusic，真够复杂呢。[localimg=496,237]5[/localimg]
准备有第一波的精彩了，呵呵。TXP1atform.exe开始对注册表行动了，看下注册表的键，很明显就露出了狐狸尾巴了，进行映像劫持了。[localimg=507,255]6[/localimg]
TXP1atform.exe又写了JM.SYS驱动，看来，又有新的犯罪行为了，继续往下看。创建了一些映像劫持的键值。其中有某些著名的杀软，[localimg=501,206]7[/localimg]创建了avp32 avp kavstart kwatch kpf32,然后设置了劫持的位置Dmusic imagepath.
接着又是调用程序，一直调出NET1.exe，然后就对DMUSIC进行服务/驱动控制，又一高危动作了。[localimg=506,231]8[/localimg]
然后就一直创建注册表，设置注册表，这里就列举我喜欢的NOD为例子，看到NOD也被黑，难受呢。。。呜呜。[localimg=510,202]9[/localimg][localimg=509,249]10[/localimg]
这样一直下去，看到了很多程序，有认识的，不认识的也一大把，呵呵，毕竟我不是杀软狂。其中一些“国产名牌”的QQ 360的一些相关程序当然我就认识了。
然后出了个好奇怪图，居然有个程序访问网络了，看它的域名，呵呵，真。。。。[localimg=508,219]11[/localimg]
继续往下看，TXP1atform.exe居然也删除HOSTS文件。并创建了些INI文件，奇怪的是，文件夹都是与硬件有关的，不知道是否想破坏啥啥啥哦。[localimg=504,213]12[/localimg]
那个可恶的TXP1atform终于调用IE访问网络了，地址是w??.ipshougou.com(？号是防止大家误点了哦！)[localimg=503,256]13[/localimg]
然后TXP1atform.exe又启动CMD，命令行net.exe /c net share D$ /del /y TXP1atform.exe又调用IE并想进行底层磁盘访问，默认禁止了哈。[localimg=626,447]14[/localimg]
IE通过注册表设置URL到w??.ipshougou.com ,[localimg=510,255]15[/localimg]
紧跟的就是CMD调用NET ,NET调用NET1，AND TXP1atform向一些程序发送消息。
[localimg=510,239]16[/localimg]
Later,实现自启动，隐藏属性。[localimg=506,201]17[/localimg][localimg=493,210]18[/localimg]
啊，这样就一直修改注册表，感觉应该动作差不多了，就一直允许，最后重启虚拟机里的系统。
回来，没什么异常，没杀软测试，只有运行一些常规软件了，运行系统自带的暴风和千千，都是说应用程序出错了，说明病毒的目的已经达到了哈。[localimg=457,111]19[/localimg]

总结下步骤：qqmo.exe启动后，就创建个TXP1atform.exe这个核心程序，一直进行操作，并调用CMD NET NET1等程序实现一些动作，对注册表创建和设置键值，达到映像劫持的目的，也联网，可能实现下载木马病毒。最后完善下实现自启动。

防御对策：一般HIPS都能拦截吧，特别是AD部分，陌生的程序肯定要注意了，更而且仿冒的那个程序是我最讨厌的QQ的垃圾程序，一般我都把那个程序删除的。至于注册表部分，映像劫持最好是用策略组设置为只读啦，更安全了，网上有相关的教程。

说明：个人感觉，日志可以免了，图已经比较详细了，加上本人一时大意，没复制日志了，后来就没有了，真郁闷。

显示全部楼层 · 发表于 2009-5-29 22:47:27

网络卡了，居然发了两次，我想发所有图片的，有2M啊，上传不了，真可惜，本来想代替日志了，，，啊啊

显示全部楼层 · 发表于 2009-5-29 22:48:02

今天是投稿了最后一天了，赶上末班车咯，呵呵。

概览：本分析的样本属于仿冒一个正常程序实现映像劫持的病毒，有联网行为，可能会下载木马程序（我的虚拟机不能联网）

详细分析：
1、行为分析运行环境：虚拟机VM 系统是雨林的XP SP3 安装版YS8.0
2、样本分析方式：行为分析（HIPS是RTD PRO）
3、分析样本是样本区的DL压缩包里的QQMO.exe

开始分析：
第一步先是qqmo.exe启动了，然后对TXP1atform进行操作，创建删除等。如图，就在system32\drivers的文件夹下操作，危险程度不小哦。接着就是写文件，并进行启动。
然后TXP1atform.exe就调用系统的NET.exe程序，如图了。[localimg=512,236]4[/localimg]
写完一批文件后，NET.exe又调用NET1.exe程序，还有个命令行stop dmusic，真够复杂呢。[localimg=496,237]5[/localimg]
准备有第一波的精彩了，呵呵。TXP1atform.exe开始对注册表行动了，看下注册表的键，很明显就露出了狐狸尾巴了，进行映像劫持了。[localimg=507,255]6[/localimg]
TXP1atform.exe又写了JM.SYS驱动，看来，又有新的犯罪行为了，继续往下看。创建了一些映像劫持的键值。其中有某些著名的杀软，[localimg=501,206]7[/localimg]创建了avp32 avp kavstart kwatch kpf32,然后设置了劫持的位置Dmusic imagepath.
接着又是调用程序，一直调出NET1.exe，然后就对DMUSIC进行服务/驱动控制，又一高危动作了。[localimg=506,231]8[/localimg]
然后就一直创建注册表，设置注册表，这里就列举我喜欢的NOD为例子，看到NOD也被黑，难受呢。。。呜呜。[localimg=510,202]9[/localimg][localimg=509,249]10[/localimg]
这样一直下去，看到了很多程序，有认识的，不认识的也一大把，呵呵，毕竟我不是杀软狂。其中一些“国产名牌”的QQ 360的一些相关程序当然我就认识了。
然后出了个好奇怪图，居然有个程序访问网络了，看它的域名，呵呵，真。。。。[localimg=508,219]11[/localimg]
继续往下看，TXP1atform.exe居然也删除HOSTS文件。并创建了些INI文件，奇怪的是，文件夹都是与硬件有关的，不知道是否想破坏啥啥啥哦。[localimg=504,213]12[/localimg]
那个可恶的TXP1atform终于调用IE访问网络了，地址是w??.ipshougou.com(？号是防止大家误点了哦！)[localimg=503,256]13[/localimg]
然后TXP1atform.exe又启动CMD，命令行net.exe /c net share D$ /del /y TXP1atform.exe又调用IE并想进行底层磁盘访问，默认禁止了哈。[localimg=626,447]14[/localimg]
IE通过注册表设置URL到w??.ipshougou.com ,[localimg=510,255]15[/localimg]
紧跟的就是CMD调用NET ,NET调用NET1，AND TXP1atform向一些程序发送消息。
[localimg=510,239]16[/localimg]
Later,实现自启动，隐藏属性。[localimg=506,201]17[/localimg][localimg=493,210]18[/localimg]
啊，这样就一直修改注册表，感觉应该动作差不多了，就一直允许，最后重启虚拟机里的系统。
回来，没什么异常，没杀软测试，只有运行一些常规软件了，运行系统自带的暴风和千千，都是说应用程序出错了，说明病毒的目的已经达到了哈。[localimg=457,111]19[/localimg]

总结下步骤：qqmo.exe启动后，就创建个TXP1atform.exe这个核心程序，一直进行操作，并调用CMD NET NET1等程序实现一些动作，对注册表创建和设置键值，达到映像劫持的目的，也联网，可能实现下载木马病毒。最后完善下实现自启动。

防御对策：一般HIPS都能拦截吧，特别是AD部分，陌生的程序肯定要注意了，更而且仿冒的那个程序是我最讨厌的QQ的垃圾程序，一般我都把那个程序删除的。至于注册表部分，映像劫持最好是用策略组设置为只读啦，更安全了，网上有相关的教程。

说明：个人感觉，日志可以免了，图已经比较详细了，加上本人一时大意，没复制日志了，后来就没有了，真郁闷。

显示全部楼层 · 发表于 2009-5-29 23:26:34

关注

[版主公告] 【论坛三周年样本区】样本分析大赛【阶段1完毕，阶段2正在进行】【新增活动奖励】

凝逸反毒Win32.HLLW.WaceE(MMM.MMM)病毒样本分析报告与修复工具

本帖子中包含更多资源

评分

测试样本区的DL压缩包里的QQMO.exe

本帖子中包含更多资源

评分

分析样本去的DL压缩包的QQMO.EXE

本帖子中包含更多资源

分析样本去的DL压缩包的QQMO.EXE

本帖子中包含更多资源