查看: 4024|回复: 19
收起左侧

这只金猪常常不能运行!怀疑金猪中有NTFS文件流!

[复制链接]
Cloud018
发表于 2007-2-10 22:31:43 | 显示全部楼层 |阅读模式
这只金猪是我从论坛中找到的样本“QQ强行聊天”中提取的原版金猪(提取方法是在虚拟机中直接运行“QQ强行聊天”,等他在我的移动硬盘根目录下生成setup,exe和autorun.inf)。当我提取完后当然是先结束金猪的进程“sppoolsv.exe”啦,然后用提取的“setup.exe”做测试,结果运行正常,他的进程也是“sppoolsv.exe”。
我是收集U盘病毒样本的,收集完当然用RAR加密打包(打包时我没有选择“保留NTFS文件流”的选项)。
但是我刚刚想在虚拟机再对他做更详细的测试时,我发现解压后他竟然常常运行出错而自动关闭(但是他也有对一些文件进行感染),而且奇怪的是他的进程是“setup.exe”,很明显他是运行他本身,而正常的应该是把“sppoolsv.exe”复制到“%system%\system32\driver\”下的,然后运行“%system%\system32\driver\sppoolsv.exe”。在去“%system%\system32\driver\”看看,也看不到“sppoolsv.exe”的存在。
我感到很奇怪,结果我运行样本“QQ强行聊天”,他正常运行。在提取出他释放出的“setup.exe”和经过压缩然后在解压的“setup.exe”用MD5比较,两个MD5值一模一样。
由此猜测,金猪中有NTFS文件流!(我做过大量的试验,“A文件:B文件”与A文件的MD5值是一样的!)而且与这吻合的是,金猪运行时有时会出现大量的cmd.exe和net.exe进程的,而cmd是可以制造和打开NTFS文件流的!
请高手解答以下这个问题!谢谢!
下面是经过RAR加密打包的不能正常运行的金猪样本!请有虚拟机或影子系统等的卡饭试试吧!
密码:z

[ 本帖最后由 Cloud018 于 2007-2-10 22:51 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ALEXBLAIR
发表于 2007-2-10 22:41:33 | 显示全部楼层
密码是什么啊???/
Cloud018
 楼主| 发表于 2007-2-10 22:49:57 | 显示全部楼层

对不起!

哦~~~~~~~~~对不起!
密码是:z
jimmyleo
发表于 2007-2-10 22:52:22 | 显示全部楼层
试了N种 没成功……
ALEXBLAIR
发表于 2007-2-10 22:58:35 | 显示全部楼层
貌似不成功的样子
能把ntfs流带出来就好了
不过,如果在fat32的盘上不是天生免疫了??
不过vista强制ntfs,以后流病毒貌似会多起来
黑衣~魂
发表于 2007-2-10 23:14:49 | 显示全部楼层
檔案可以運作以下是測試結果跟之前的差不多~
N:\setup.exe.
N:\autorun.inf.
C:\setup.exe.
C:\autorun.inf.
C:\WINDOWS\SYSTEM32\drivers\sppoolsv.exe
C:\WINDOWS\MZP.
N:\DOCUME~1\Desktop_.ini.
N:\DOCUME~1\ALLUSERS\Desktop_.ini.
N:\DOCUME~1\ALLUSERS\STARTM~1\Desktop_.ini.
N:\DOCUME~1\ALLUSERS\STARTM~1\PROGRAMS\Desktop_.ini.

註冊表修改創造就不貼了....很多.....連上網路與TCP 80 ...等也都跳過~!!

咖啡兩檔皆報~!!

[ 本帖最后由 黑衣~魂 于 2007-2-10 23:16 编辑 ]

评分

参与人数 1经验 +1 收起 理由
ALEXBLAIR + 1 感谢解答: )

查看全部评分

小邪邪
发表于 2007-2-10 23:53:08 | 显示全部楼层
这次mcafee的企业版也给截杀掉了,连运行一下的机会都没有
mofunzone
发表于 2007-2-11 02:56:44 | 显示全部楼层
Starting the file scan:

Begin scan in 'C:\Documents and Settings\Administrator\My Documents\setup(20)'
C:\Documents and Settings\Administrator\My Documents\setup(20)\
  autorun.inf
  setup.exe
      [DETECTION] Is the Trojan horse TR/Delphi.Downloader.Gen
      [INFO]      The file was deleted!
Cloud018
 楼主| 发表于 2007-2-11 11:26:58 | 显示全部楼层

回复 #5 ALEXBLAIR 的帖子

正如5楼所说的,我也曾经想过。
但我可有这样的设想:他开一个线程感染其他文件,而被感染的文件却不具有NTFS文件流,好像那个被感染的“QQ强行聊天”一样。当运行被感染的文件后,他就会释放出金猪源病毒文件,然后用CMD对他施加NTFS文件流。
这个仅是个人设想罢了!

[ 本帖最后由 Cloud018 于 2007-2-11 11:28 编辑 ]
turkey2k6
发表于 2007-2-11 11:40:06 | 显示全部楼层
我在fat32格式上运行过,如果运行被感染的文件,则会释放病毒本身到system32和每个盘的根目录下,如果运行病毒本身,则不管你运行的这个金猪在什么位置,文件名是什么,它都不会在根目录下释放文件,system32下也不会释放文件,但是会感染其它的exe文件
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 16:08 , Processed in 0.137792 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表