【论坛三周年样本区】样本分析大赛【阶段1完毕，阶段2正在进行】【新增活动奖励】

凝逸反毒

凝逸反毒Win32.HLLW.WaceE(MMM.MMM)病毒样本分析报告与修复工具

1: 分析环境是xp2，分析工具是易语言自写的小工具

2:概述:
  MMM.MMM病毒
  病毒名: Win32.HLLW.Wace,Worm.Win32.AutoRun.ubh,Win32.Troj.Downloader.cf.978944,Worm.Win32.AutoRun.yze,Win32.AutoRun.NC 蠕虫 ,MMM.MMM
  目前还在变种流行,最初会先感染rar ,现在好象直接感染所有exe,在文件尾加入毒节  .MMM
  凝逸反毒.修复Win32.HLLW.WaceE感染1.0 对变种不能修复,所以更新到1.1版,以能通用修复!


===========修复工具==============

        凝逸反毒.修复Win32.HLLW.WaceE(MMM.MMM)感染1.1
感染引擎: 修复Win32.HLLW.Wace病毒
引擎作者: 凝逸
  病毒名: Win32.HLLW.Wace,Worm.Win32.AutoRun.ubh,Win32.Troj.Downloader.cf.978944,Worm.Win32.AutoRun.yze,Win32.AutoRun.NC 蠕虫 ,MMM.MMM
    功能: 修复Win32.HLLW.Wace感染的EXE,有一些感染坏了,就修复不了!
    清除: 一建[清除病毒]
1.1版 对变种作通用性升级!
注意:先试修复几个exe,如不能运行为新变种,请联络凝逸开发出新的修复引擎!
修复方法:

  [专杀]
      ->修复Win32.HLLW.Wace

          再 修复所有exe
  [扫描]
       ->扫描病毒
          把 c:\ 下的木马杀了
从开机 在把凝逸反毒在解出来,在扫一次
---
如有 ghost或一键还原,可用
  [扫描]
       ->黑洞
          把 把木马杀了, 从开机时在还原系,
---

主页:http://hi.baidu.com/503165656
   
凝逸BBS:http://nyav.uu1001.cn/
技术支持QQ:503165656
反病毒QQ群:31168828
(创建于:2007-01)
=============




========PE格式分析==========
文件头分析【PE Headers】
      文件格式                 ：unknown signature, probably MS-DOS
      DOS_HEADER 文件头长度    ：512
      文件运行所要求的CPU      ：Intel 80386 处理器或更高
      节数目                   ：9
      文件创建的时间           ：2006年8月16日2时0分30秒
      OptionalHeader 结构大小  ：E0
      文件信息的标记           ：30E
      标志字                   ：10B
      连接器版本号             ：5.0
      代码段长度               ：185000
      已初始化数据块大小       ：29000
      未初始化数据块大小       ：0
    ★程序入口  [EntryCodeData]：003D5E5E
      代码段起始   [BaseOfCode]：00001000
      数据库段起始 [BaseOfData]：00186000
    ★优先装载地址  [ImageBase]：00400000
      内存中节对齐粒度         ：1000
      文件中节对齐粒度         ：200
      系统所需版本号           ：4.0
      自定义版本号             ：0.0
      子系统所需版本号         ：4.0
      内存中PE映像体的尺寸     ：3D6082
      所有头+节表的大小        ：600
      校验和                   ：0
      文件系统                 ：IMAGE_SUBSYSTEM_WINDOWS_GUI
      DLL特性                  ：0
      保留栈的大小             ：100000
      初始时指定栈大小         ：2000
      保留堆的大小             ：100000
      指定堆大小               ：1000
      加载器标志               ：0
      Rva数和大小              ：10
分析节表【Section Table】
序号   名称  代码地址  代码长度  文件偏移  文件长度  内存属性
  1    .text  00001000  00185000  00000600  00184C00  60000020
  2    .data  00186000  00029000  00185200  00024200  C0000040
  3     .tls  001AF000  00001000  001A9400  00000200  C0000040
  4   .rdata  001B0000  00001000  001A9600  00000200  50000040
  5   .idata  001B1000  00004000  001A9800  00003A00  40000040
  6   .edata  001B5000  0003C000  001AD200  0003B800  40000040
  7    .rsrc  001F1000  001C2018  001E8A00  001C1A18  40000040
  8   .reloc  003B4000  0001B000  003AA600  0001B000  50000040
  9     .MMM  003CF000  00007082  003C5600  00007082  E00000E0
分析导入表【Import Table】 Image Thunk raw + ★ rva + Import by Name||Hint
动态链接库 :SKYMISC.DLL
      地址 :      001A995C     001B115C==> Report2WSC
动态链接库 :WS2_32.DLL
      地址 :      001A9988     001B1188==> Report2WSC
      地址 :      001A9990     001B118C==> WSAIoctl
      地址 :      001A9998     001B1190==> WSASocketA
      地址 :      001A99A0     001B1194==> WSASocketA
      地址 :      001A99A8     001B1198==> WSASocketA
      地址 :      001A99B0     001B119C==> WSASocketA
      地址 :      001A99B8     001B11A0==> WSASocketA
      地址 :      001A99C0     001B11A4==> WSASocketA
=============
生成木马
C:\WINDOWS\Fonts\9b8fd8070709598b9f5c5a64d77fe290\system\
windows.sys
dd.jpg
KB930.vxd
ctfmn.exe
MMM.MMM
===IFEO映像劫持一些杀毒软件 指向病毒文件=======
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360rpt.exe]    <IFEO[360rpt.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360Safe.exe]    <IFEO[360Safe.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\360tray.exe]    <IFEO[360tray.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\_AVP32.EXE]    <IFEO[_AVP32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\_AVPCC.EXE]    <IFEO[_AVPCC.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\_AVPM.EXE]    <IFEO[_AVPM.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ACKWIN32.EXE]    <IFEO[ACKWIN32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ANTI-TROJAN.EXE]    <IFEO[ANTI-TROJAN.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\APVXDWIN.EXE]    <IFEO[APVXDWIN.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AUTODOWN.EXE]    <IFEO[AUTODOWN.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVCONSOL.EXE]    <IFEO[AVCONSOL.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVE32.EXE]    <IFEO[AVE32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVGCTRL.EXE]    <IFEO[AVGCTRL.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVKSERV.EXE]    <IFEO[AVKSERV.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVNT.EXE]    <IFEO[AVNT.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVP.EXE]    <IFEO[AVP.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVP32.EXE]    <IFEO[AVP32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVPCC.EXE]    <IFEO[AVPCC.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVPDOS32.EXE]    <IFEO[AVPDOS32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVPM.EXE]    <IFEO[AVPM.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVPTC32.EXE]    <IFEO[AVPTC32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVPUPD.EXE]    <IFEO[AVPUPD.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVSCHED32.EXE]    <IFEO[AVSCHED32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVWIN95.EXE]    <IFEO[AVWIN95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\AVWUPD32.EXE]    <IFEO[AVWUPD32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\BLACKD.EXE]    <IFEO[BLACKD.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\BLACKICE.EXE]    <IFEO[BLACKICE.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CFIADMIN.EXE]    <IFEO[CFIADMIN.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CFIAUDIT.EXE]    <IFEO[CFIAUDIT.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CFINET.EXE]    <IFEO[CFINET.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CFINET32.EXE]    <IFEO[CFINET32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CLAW95.EXE]    <IFEO[CLAW95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CLAW95CF.EXE]    <IFEO[CLAW95CF.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CLEANER.EXE]    <IFEO[CLEANER.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\CLEANER3.EXE]    <IFEO[CLEANER3.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DVP95.EXE]    <IFEO[DVP95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\DVP95_0.EXE]    <IFEO[DVP95_0.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ECENGINE.EXE]    <IFEO[ECENGINE.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EGHOST.EXE]    <IFEO[EGHOST.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ESAFE.EXE]    <IFEO[ESAFE.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\EXPWATCH.EXE]    <IFEO[EXPWATCH.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\F-AGNT95.EXE]    <IFEO[F-AGNT95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\F-PROT.EXE]    <IFEO[F-PROT.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\F-PROT95.EXE]    <IFEO[F-PROT95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\F-STOPW.EXE]    <IFEO[F-STOPW.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FESCUE.EXE]    <IFEO[FESCUE.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FINDVIRU.EXE]    <IFEO[FINDVIRU.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FP-WIN.EXE]    <IFEO[FP-WIN.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FPROT.EXE]    <IFEO[FPROT.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\FRW.EXE]    <IFEO[FRW.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IAMAPP.EXE]    <IFEO[IAMAPP.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IAMSERV.EXE]    <IFEO[IAMSERV.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IBMASN.EXE]    <IFEO[IBMASN.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IBMAVSP.EXE]    <IFEO[IBMAVSP.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ICLOAD95.EXE]    <IFEO[ICLOAD95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ICLOADNT.EXE]    <IFEO[ICLOADNT.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ICMON.EXE]    <IFEO[ICMON.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ICSUPP95.EXE]    <IFEO[ICSUPP95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ICSUPPNT.EXE]    <IFEO[ICSUPPNT.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IFACE.EXE]    <IFEO[IFACE.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\IOMON98.EXE]    <IFEO[IOMON98.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Iparmor.exe]    <IFEO[Iparmor.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\JEDI.EXE]    <IFEO[JEDI.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAV32.exe]    <IFEO[KAV32.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVPFW.EXE]    <IFEO[KAVPFW.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVsvc.exe]    <IFEO[KAVsvc.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KAVSvcUI.exe]    <IFEO[KAVSvcUI.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVFW.EXE]    <IFEO[KVFW.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.exe]    <IFEO[KVMonXP.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVMonXP.kxp]    <IFEO[KVMonXP.kxp]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVSrvXP.exe]    <IFEO[KVSrvXP.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KVwsc.exe]    <IFEO[KVwsc.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KvXP.kxp]    <IFEO[KvXP.kxp]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\KWatchUI.EXE]    <IFEO[KWatchUI.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LOCKDOWN2000.EXE]    <IFEO[LOCKDOWN2000.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Logo1_.exe]    <IFEO[Logo1_.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Logo_1.exe]    <IFEO[Logo_1.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LOOKOUT.EXE]    <IFEO[LOOKOUT.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\LUALL.EXE]    <IFEO[LUALL.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MAILMON.EXE]    <IFEO[MAILMON.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MOOLIVE.EXE]    <IFEO[MOOLIVE.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\MPFTRAY.EXE]    <IFEO[MPFTRAY.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\N32SCANW.EXE]    <IFEO[N32SCANW.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapsvc.exe]    <IFEO[Navapsvc.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Navapw32.exe]    <IFEO[Navapw32.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVLU32.EXE]    <IFEO[NAVLU32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVNT.EXE]    <IFEO[NAVNT.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\navw32.EXE]    <IFEO[navw32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NAVWNT.EXE]    <IFEO[NAVWNT.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NISUM.EXE]    <IFEO[NISUM.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NMain.exe]    <IFEO[NMain.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NORMIST.EXE]    <IFEO[NORMIST.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NUPGRADE.EXE]    <IFEO[NUPGRADE.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\NVC95.EXE]    <IFEO[NVC95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PAVCL.EXE]    <IFEO[PAVCL.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PAVSCHED.EXE]    <IFEO[PAVSCHED.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PAVW.EXE]    <IFEO[PAVW.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCCWIN98.EXE]    <IFEO[PCCWIN98.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PCFWALLICON.EXE]    <IFEO[PCFWALLICON.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PERSFW.EXE]    <IFEO[PERSFW.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\PFW.EXE]    <IFEO[PFW.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rav.exe]    <IFEO[Rav.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAV7.EXE]    <IFEO[RAV7.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAV7WIN.EXE]    <IFEO[RAV7WIN.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAVmon.exe]    <IFEO[RAVmon.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAVmonD.exe]    <IFEO[RAVmonD.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\RAVtimer.exe]    <IFEO[RAVtimer.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Rising.exe]    <IFEO[Rising.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SAFEWEB.EXE]    <IFEO[SAFEWEB.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SCAN32.EXE]    <IFEO[SCAN32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SCAN95.EXE]    <IFEO[SCAN95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SCANPM.EXE]    <IFEO[SCANPM.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SCRSCAN.EXE]    <IFEO[SCRSCAN.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SERV95.EXE]    <IFEO[SERV95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SMC.EXE]    <IFEO[SMC.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SPHINX.EXE]    <IFEO[SPHINX.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\SWEEP95.EXE]    <IFEO[SWEEP95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TBSCAN.EXE]    <IFEO[TBSCAN.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TCA.EXE]    <IFEO[TCA.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TDS2-98.EXE]    <IFEO[TDS2-98.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TDS2-NT.EXE]    <IFEO[TDS2-NT.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\THGUARD.EXE]    <IFEO[THGUARD.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\TrojanHunter.exe]    <IFEO[TrojanHunter.exe]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VET95.EXE]    <IFEO[VET95.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VETTRAY.EXE]    <IFEO[VETTRAY.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VSCAN40.EXE]    <IFEO[VSCAN40.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VSECOMR.EXE]    <IFEO[VSECOMR.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VSHWIN32.EXE]    <IFEO[VSHWIN32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\VSSTAT.EXE]    <IFEO[VSSTAT.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WEBSCANX.EXE]    <IFEO[WEBSCANX.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\WFINDV32.EXE]    <IFEO[WFINDV32.EXE]><c:\\MMM.exe>  [File is missing][HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\ZONEALARM.EXE]    <IFEO[ZONEALARM.EXE]><c:\\MMM.exe>  [File is missing]
=============
==HOSTS 文件========
127.0.0.1  www.netclean.org.cn
127.0.0.1  www.netclean.cn   
127.0.0.1  www.kingdun.net   
127.0.0.1  www.168tgws.cn   
127.0.0.1  www.king6.com.cn  
127.0.0.1  www.netclean.com.cn  
127.0.0.1  www.lebi.cn     
127.0.0.1  www.feydj.com   
127.0.0.1  www.netclean.org.cn   
========

myhehanlin

支持，看看分析！

冰泉

我只是来观摩各位大师的杰作的，汗下

sd4264061

前来学习一下高手的经验

lcming

今天是投稿了最后一天了，赶上末班车咯，呵呵。

概览：本分析的样本属于仿冒一个正常程序实现映像劫持的病毒，有联网行为，可能会下载木马程序（我的虚拟机不能联网）

详细分析：
1、行为分析运行环境：虚拟机VM 系统是雨林的XP SP3 安装版YS8.0
2、样本分析方式：行为分析（HIPS是RTD PRO）
3、分析样本是样本区的DL压缩包里的QQMO.exe

开始分析：
第一步先是qqmo.exe启动了，然后对TXP1atform进行操作，创建删除等。如图，就在system32\drivers的文件夹下操作，危险程度不小哦。接着就是写文件，并进行启动。
然后TXP1atform.exe就调用系统的NET.exe程序，如图了。
写完一批文件后，NET.exe又调用NET1.exe程序，还有个命令行stop dmusic，真够复杂呢。
准备有第一波的精彩了，呵呵。TXP1atform.exe开始对注册表行动了，看下注册表的键，很明显就露出了狐狸尾巴了，进行映像劫持了。
TXP1atform.exe又写了JM.SYS驱动，看来，又有新的犯罪行为了，继续往下看。创建了一些映像劫持的键值。其中有某些著名的杀软，创建了avp32 avp kavstart kwatch kpf32,然后设置了劫持的位置Dmusic imagepath.
接着又是调用程序，一直调出NET1.exe，然后就对DMUSIC进行服务/驱动控制，又一高危动作了。
然后就一直创建注册表，设置注册表，这里就列举我喜欢的NOD为例子，看到NOD也被黑，难受呢。。。呜呜。
这样一直下去，看到了很多程序，有认识的，不认识的也一大把，呵呵，毕竟我不是杀软狂。其中一些“国产名牌”的QQ 360的一些相关程序当然我就认识了。
然后出了个好奇怪图，居然有个程序访问网络了，看它的域名，呵呵，真。。。。
继续往下看，TXP1atform.exe居然也删除HOSTS文件。并创建了些INI文件，奇怪的是，文件夹都是与硬件有关的，不知道是否想破坏啥啥啥哦。
那个可恶的TXP1atform终于调用IE访问网络了，地址是w??.ipshougou.com(？号是防止大家误点了哦！)
然后TXP1atform.exe又启动CMD，命令行net.exe /c net share D$ /del /y    TXP1atform.exe又调用IE并想进行底层磁盘访问，默认禁止了哈。
IE通过注册表设置URL到w??.ipshougou.com ,
紧跟的就是CMD调用NET ,NET调用NET1，AND  TXP1atform向一些程序发送消息。

Later,实现自启动，隐藏属性。
啊，这样就一直修改注册表，感觉应该动作差不多了，就一直允许，最后重启虚拟机里的系统。
回来，没什么异常，没杀软测试，只有运行一些常规软件了，运行系统自带的暴风和千千，都是说应用程序出错了，说明病毒的目的已经达到了哈。


总结下步骤：qqmo.exe启动后，就创建个TXP1atform.exe这个核心程序，一直进行操作，并调用CMD NET NET1等程序实现一些动作，对注册表创建和设置键值，达到映像劫持的目的，也联网，可能实现下载木马病毒。最后完善下实现自启动。

防御对策：一般HIPS都能拦截吧，特别是AD部分，陌生的程序肯定要注意了，更而且仿冒的那个程序是我最讨厌的QQ的垃圾程序，一般我都把那个程序删除的。至于注册表部分，映像劫持最好是用策略组设置为只读啦，更安全了，网上有相关的教程。

说明：个人感觉，日志可以免了，图已经比较详细了，加上本人一时大意，没复制日志了，后来就没有了，真郁闷。

lcming

今天是投稿了最后一天了，赶上末班车咯，呵呵。

概览：本分析的样本属于仿冒一个正常程序实现映像劫持的病毒，有联网行为，可能会下载木马程序（我的虚拟机不能联网）

详细分析：
1、行为分析运行环境：虚拟机VM 系统是雨林的XP SP3 安装版YS8.0
2、样本分析方式：行为分析（HIPS是RTD PRO）
3、分析样本是样本区的DL压缩包里的QQMO.exe

开始分析：
第一步先是qqmo.exe启动了，然后对TXP1atform进行操作，创建删除等。[localimg=503,214]2[/localimg]如图，就在system32\drivers的文件夹下操作，危险程度不小哦。接着就是写文件，并进行启动。[localimg=501,250]3[/localimg]
然后TXP1atform.exe就调用系统的NET.exe程序，如图了。[localimg=512,236]4[/localimg]
写完一批文件后，NET.exe又调用NET1.exe程序，还有个命令行stop dmusic，真够复杂呢。[localimg=496,237]5[/localimg]
准备有第一波的精彩了，呵呵。TXP1atform.exe开始对注册表行动了，看下注册表的键，很明显就露出了狐狸尾巴了，进行映像劫持了。[localimg=507,255]6[/localimg]
TXP1atform.exe又写了JM.SYS驱动，看来，又有新的犯罪行为了，继续往下看。创建了一些映像劫持的键值。其中有某些著名的杀软，[localimg=501,206]7[/localimg]创建了avp32 avp kavstart kwatch kpf32,然后设置了劫持的位置Dmusic imagepath.
接着又是调用程序，一直调出NET1.exe，然后就对DMUSIC进行服务/驱动控制，又一高危动作了。[localimg=506,231]8[/localimg]
然后就一直创建注册表，设置注册表，这里就列举我喜欢的NOD为例子，看到NOD也被黑，难受呢。。。呜呜。[localimg=510,202]9[/localimg][localimg=509,249]10[/localimg]
这样一直下去，看到了很多程序，有认识的，不认识的也一大把，呵呵，毕竟我不是杀软狂。其中一些“国产名牌”的QQ 360的一些相关程序当然我就认识了。
然后出了个好奇怪图，居然有个程序访问网络了，看它的域名，呵呵，真。。。。[localimg=508,219]11[/localimg]
继续往下看，TXP1atform.exe居然也删除HOSTS文件。并创建了些INI文件，奇怪的是，文件夹都是与硬件有关的，不知道是否想破坏啥啥啥哦。[localimg=504,213]12[/localimg]
那个可恶的TXP1atform终于调用IE访问网络了，地址是w??.ipshougou.com(？号是防止大家误点了哦！)[localimg=503,256]13[/localimg]
然后TXP1atform.exe又启动CMD，命令行net.exe /c net share D$ /del /y    TXP1atform.exe又调用IE并想进行底层磁盘访问，默认禁止了哈。[localimg=626,447]14[/localimg]
IE通过注册表设置URL到w??.ipshougou.com ,[localimg=510,255]15[/localimg]
紧跟的就是CMD调用NET ,NET调用NET1，AND  TXP1atform向一些程序发送消息。
[localimg=510,239]16[/localimg]
Later,实现自启动，隐藏属性。[localimg=506,201]17[/localimg][localimg=493,210]18[/localimg]
啊，这样就一直修改注册表，感觉应该动作差不多了，就一直允许，最后重启虚拟机里的系统。
回来，没什么异常，没杀软测试，只有运行一些常规软件了，运行系统自带的暴风和千千，都是说应用程序出错了，说明病毒的目的已经达到了哈。[localimg=457,111]19[/localimg]


总结下步骤：qqmo.exe启动后，就创建个TXP1atform.exe这个核心程序，一直进行操作，并调用CMD NET NET1等程序实现一些动作，对注册表创建和设置键值，达到映像劫持的目的，也联网，可能实现下载木马病毒。最后完善下实现自启动。

防御对策：一般HIPS都能拦截吧，特别是AD部分，陌生的程序肯定要注意了，更而且仿冒的那个程序是我最讨厌的QQ的垃圾程序，一般我都把那个程序删除的。至于注册表部分，映像劫持最好是用策略组设置为只读啦，更安全了，网上有相关的教程。

说明：个人感觉，日志可以免了，图已经比较详细了，加上本人一时大意，没复制日志了，后来就没有了，真郁闷。

lcming

网络卡了，居然发了两次，我想发所有图片的，有2M啊，上传不了，真可惜，本来想代替日志了，，，啊啊

lcming

今天是投稿了最后一天了，赶上末班车咯，呵呵。

概览：本分析的样本属于仿冒一个正常程序实现映像劫持的病毒，有联网行为，可能会下载木马程序（我的虚拟机不能联网）

详细分析：
1、行为分析运行环境：虚拟机VM 系统是雨林的XP SP3 安装版YS8.0
2、样本分析方式：行为分析（HIPS是RTD PRO）
3、分析样本是样本区的DL压缩包里的QQMO.exe

开始分析：
第一步先是qqmo.exe启动了，然后对TXP1atform进行操作，创建删除等。如图，就在system32\drivers的文件夹下操作，危险程度不小哦。接着就是写文件，并进行启动。
然后TXP1atform.exe就调用系统的NET.exe程序，如图了。[localimg=512,236]4[/localimg]
写完一批文件后，NET.exe又调用NET1.exe程序，还有个命令行stop dmusic，真够复杂呢。[localimg=496,237]5[/localimg]
准备有第一波的精彩了，呵呵。TXP1atform.exe开始对注册表行动了，看下注册表的键，很明显就露出了狐狸尾巴了，进行映像劫持了。[localimg=507,255]6[/localimg]
TXP1atform.exe又写了JM.SYS驱动，看来，又有新的犯罪行为了，继续往下看。创建了一些映像劫持的键值。其中有某些著名的杀软，[localimg=501,206]7[/localimg]创建了avp32 avp kavstart kwatch kpf32,然后设置了劫持的位置Dmusic imagepath.
接着又是调用程序，一直调出NET1.exe，然后就对DMUSIC进行服务/驱动控制，又一高危动作了。[localimg=506,231]8[/localimg]
然后就一直创建注册表，设置注册表，这里就列举我喜欢的NOD为例子，看到NOD也被黑，难受呢。。。呜呜。[localimg=510,202]9[/localimg][localimg=509,249]10[/localimg]
这样一直下去，看到了很多程序，有认识的，不认识的也一大把，呵呵，毕竟我不是杀软狂。其中一些“国产名牌”的QQ 360的一些相关程序当然我就认识了。
然后出了个好奇怪图，居然有个程序访问网络了，看它的域名，呵呵，真。。。。[localimg=508,219]11[/localimg]
继续往下看，TXP1atform.exe居然也删除HOSTS文件。并创建了些INI文件，奇怪的是，文件夹都是与硬件有关的，不知道是否想破坏啥啥啥哦。[localimg=504,213]12[/localimg]
那个可恶的TXP1atform终于调用IE访问网络了，地址是w??.ipshougou.com(？号是防止大家误点了哦！)[localimg=503,256]13[/localimg]
然后TXP1atform.exe又启动CMD，命令行net.exe /c net share D$ /del /y    TXP1atform.exe又调用IE并想进行底层磁盘访问，默认禁止了哈。[localimg=626,447]14[/localimg]
IE通过注册表设置URL到w??.ipshougou.com ,[localimg=510,255]15[/localimg]
紧跟的就是CMD调用NET ,NET调用NET1，AND  TXP1atform向一些程序发送消息。
[localimg=510,239]16[/localimg]
Later,实现自启动，隐藏属性。[localimg=506,201]17[/localimg][localimg=493,210]18[/localimg]
啊，这样就一直修改注册表，感觉应该动作差不多了，就一直允许，最后重启虚拟机里的系统。
回来，没什么异常，没杀软测试，只有运行一些常规软件了，运行系统自带的暴风和千千，都是说应用程序出错了，说明病毒的目的已经达到了哈。[localimg=457,111]19[/localimg]


总结下步骤：qqmo.exe启动后，就创建个TXP1atform.exe这个核心程序，一直进行操作，并调用CMD NET NET1等程序实现一些动作，对注册表创建和设置键值，达到映像劫持的目的，也联网，可能实现下载木马病毒。最后完善下实现自启动。

防御对策：一般HIPS都能拦截吧，特别是AD部分，陌生的程序肯定要注意了，更而且仿冒的那个程序是我最讨厌的QQ的垃圾程序，一般我都把那个程序删除的。至于注册表部分，映像劫持最好是用策略组设置为只读啦，更安全了，网上有相关的教程。

说明：个人感觉，日志可以免了，图已经比较详细了，加上本人一时大意，没复制日志了，后来就没有了，真郁闷。

hwdqjzx

关注