未知程序` DLL已添加上传` 行为分析google成了中文`

显示全部楼层 · 发表于 2009-9-3 23:50:55

RT

扫描结果 :	46%的杀软(17/37)报告发现病毒
时间 :	2009/09/03 23:31:36 (CST)

[url=]1。一般信息[/url]

Information about Anubis' invocation

关于阿努比斯'调用

Time needed: 所需时间：	45 s 45 š
Report created: 报告创建：	09/03/09, 16:47:48 UTC 09/03/09，16点47分48秒星期三
Termination reason: 终止原因：	All tracked processes have exited 都退出跟踪过程
Program version: 程序版本：	1.71.0 1.71.0

2.RUNSCANNER.EXE

General information about this executable

一般资料对这个可执行文件

Analysis Reason: 分析原因：	Primary Analysis Subject 初步分析科目
Filename: 文件名：	RUNSCANNER.EXE RUNSCANNER.EXE
MD5: 的MD5：	2e55574bc1344a645fced1e177e33704 2e55574bc1344a645fced1e177e33704
SHA-1: SHA - 1的：	4401a05b54f013387b1f9b4839aeb764996c3389 4401a05b54f013387b1f9b4839aeb764996c3389
File Size: 文件大小：	36510 Bytes 36510字节
Command Line: 命令行：	"C:\RUNSCANNER.EXE" 的“C：\ RUNSCANNER.EXE”
Process-status at analysis end: 进程结束状态的分析：	dead 死的
Exit Code: 退出代码：	1 1

Load-time Dlls

负载时DLL

Module Name 模块名称	Base Address 基地址	Size 大小
C:\WINDOWS\system32\ntdll.dll ç：\的Windows \ System32 \ Ntdll.dll中	0x7C900000 0x7C900000	0x000AF000 0x000AF000
C:\WINDOWS\system32\kernel32.dll ç：\的Windows \ system32 \ kernel32.dll中	0x7C800000 0x7C800000	0x000F6000 0x000F6000
C:\WINDOWS\system32\COMCTL32.DLL ç：\的Windows \ System32 \ comctl32.dll而	0x5D090000 0x5D090000	0x0009A000 0x0009A000
C:\WINDOWS\system32\ADVAPI32.dll ç：\的Windows \ System32 \ advapi32.dll中	0x77DD0000 0x77DD0000	0x0009B000 0x0009B000
C:\WINDOWS\system32\RPCRT4.dll ç：\的Windows \ System32 \ Rpcrt4.dll中	0x77E70000 0x77E70000	0x00092000 0x00092000
C:\WINDOWS\system32\Secur32.dll ç：\的Windows \ System32 \找到Secur32.dll	0x77FE0000 0x77FE0000	0x00011000 0x00011000
C:\WINDOWS\system32\GDI32.dll ç：\的Windows \ System32 \ GDI32.DLL的	0x77F10000 0x77F10000	0x00049000 0x00049000
C:\WINDOWS\system32\USER32.dll ç：\的Windows \ system32 \ user32.dll中	0x7E410000 0x7E410000	0x00091000 0x00091000
C:\WINDOWS\system32\SHLWAPI.DLL ç：\的Windows \ System32 \ SHLWAPI.DLL	0x77F60000 0x77F60000	0x00076000 0x00076000
C:\WINDOWS\system32\msvcrt.dll ç：\的Windows \ System32 \ MSVCRT.DLL中	0x77C10000 0x77C10000	0x00058000 0x00058000
C:\WINDOWS\system32\VERSION.DLL ç：\的Windows \ System32 \ VERSION.DLL	0x77C00000 0x77C00000	0x00008000 0x00008000
C:\WINDOWS\system32\SHELL32.DLL ç：\的Windows \ System32 \ Shell32.dll中	0x7C9C0000 0x7C9C0000	0x00817000 0x00817000
C:\WINDOWS\system32\OLE32.DLL ç：\的Windows \ System32 \ OLE32.DLL中	0x774E0000 0x774E0000	0x0013D000 0x0013D000
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll ç：\的Windows \ WinSxS中\ x86_Microsoft.Windows.Common - Controls_6595b64144ccf1df_6.0.2600.5512_x - ww_35d4ce83 \ comctl32.dll而	0x773D0000 0x773D0000	0x00103000 0x00103000

Run-time Dlls

运行时DLL

Module Name 模块名称	Base Address 基地址	Size 大小
C:\WINDOWS\system32\MSCTF.dll ç：\的Windows \ System32 \对Msctf.dll	0x74720000 0x74720000	0x0004C000 0x0004C000

SigBuster Output

SigBuster输出

NsPack All_Versions SN:1635

NsPack All_Versions编号：1635

Ikarus Virus Scanner

依卡路斯病毒扫描

Trojan-Downloader.Win32.Delf (Sig-Id:631878)

木马- Downloader.Win32.Delf（SIG的编号：631878）

Popups

弹出窗口

Window Name 窗口名称	Window Text 窗口中的文本	Screenshot 截图	Number of Displayed Times 数显示时代
RunScanner Error RunScanner错误	OK Missing command line file name 确定失踪命令行文件的名称		1 1

2.RUNSCANNER.EXE -注册活动

Registry Values Read:

注册表值阅读：

Key 钥匙	Name 名字	Value 价值	Times 时报
HKLM\SOFTWARE\Microsoft\CTF\SystemShared\ HKLM \软件\微软\ CTF \ SystemShared \	CUAS CUAS	0 0	1 1
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager HKLM \系统\ CurrentControlSet \控制\会话管理	CriticalSectionTimeout CriticalSectionTimeout	2592000 259.2万	1 1
HKLM\SYSTEM\Setup HKLM \系统\安装程序	SystemSetupInProgress SystemSetupInProgress	0 0	1 1
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows HKLM \软件\微软\视窗NT \ CurrentVersion \窗口	AppInit_DLLs AppInit_DLLs		1 1
HKLM\Software\Policies\Microsoft\Windows\Safer\CodeIdentifiers HKLM \软件\政策\微软\窗口\安全\ CodeIdentifiers	TransparentEnabled TransparentEnabled	1 1	1 1
HKLM\System\CurrentControlSet\Control\Terminal Server HKLM \系统\ CurrentControlSet \控制\终端服务器	TSAppCompat TSAppCompat	0 0	3 3
HKLM\System\CurrentControlSet\Control\Terminal Server HKLM \系统\ CurrentControlSet \控制\终端服务器	TSUserEnabled TSUserEnabled	0 0	1 1
HKU\S-1-5-21-842925246-1425521274-308236825-500\Keyboard Layout\Toggle 港大\的S - 1 - 5 - 21 - 842925246 - 1425521274 - 308236825 - 500 \键盘布局\切换	Language Hotkey 语言热键	1 1	4 4
HKU\S-1-5-21-842925246-1425521274-308236825-500\Keyboard Layout\Toggle 港大\的S - 1 - 5 - 21 - 842925246 - 1425521274 - 308236825 - 500 \键盘布局\切换	Layout Hotkey 布局热键	2 2	4 4

2.RUNSCANNER.EXE -文件活动

File System Control Communication:

文件系统控制通讯：

File 文件	Control Code 控制代码	Times 时报
C:\ ç：\	0x00090028 0x00090028	1 1

Device Control Communication:

设备控制通讯：

File 文件	Control Code 控制代码	Times 时报
\Device\KsecDD \设备\ KsecDD	0x00390008 0x00390008	1 1

Memory Mapped Files:

内存映射文件：

File Name

文件名

C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll

ç：\的Windows \ WinSxS中\ x86_Microsoft.Windows.Common - Controls_6595b64144ccf1df_6.0.2600.5512_x - ww_35d4ce83 \ comctl32.dll而

C:\WINDOWS\WindowsShell.Manifest

ç：\的Windows \ WindowsShell.Manifest

C:\WINDOWS\system32\COMCTL32.DLL

ç：\的Windows \ System32 \ comctl32.dll而

C:\WINDOWS\system32\MSCTF.dll

ç：\的Windows \ System32 \对Msctf.dll

C:\WINDOWS\system32\SHELL32.DLL

ç：\的Windows \ System32 \ Shell32.dll中

C:\WINDOWS\system32\imm32.dll

ç：\的Windows \ System32 \ imm32.dll

2.RUNSCANNER.EXE -其他活动

Mutexes Created:

互斥建立：

CTF.Asm.MutexDefaultS-1-5-21-842925246-1425521274-308236825-500

CTF.Asm.MutexDefaultS - 1 - 5 - 21 - 842925246 - 1425521274 - 308236825 - 500

CTF.Compart.MutexDefaultS-1-5-21-842925246-1425521274-308236825-500

CTF.Compart.MutexDefaultS - 1 - 5 - 21 - 842925246 - 1425521274 - 308236825 - 500

CTF.LBES.MutexDefaultS-1-5-21-842925246-1425521274-308236825-500

CTF.LBES.MutexDefaultS - 1 - 5 - 21 - 842925246 - 1425521274 - 308236825 - 500

CTF.Layouts.MutexDefaultS-1-5-21-842925246-1425521274-308236825-500

CTF.Layouts.MutexDefaultS - 1 - 5 - 21 - 842925246 - 1425521274 - 308236825 - 500

CTF.TMD.MutexDefaultS-1-5-21-842925246-1425521274-308236825-500

CTF.TMD.MutexDefaultS - 1 - 5 - 21 - 842925246 - 1425521274 - 308236825 - 500

CTF.TimListCache.FMPDefaultS-1-5-21-842925246-1425521274-308236825-500MUTEX.DefaultS-1-5-21-842925246-1425521274-308236825-500

CTF.TimListCache.FMPDefaultS - 1 - 5 - 21 - 842925246 - 1425521274 - 308236825 - 500MUTEX.DefaultS - 1 - 5 - 21 - 842925246 - 1425521274 - 308236825 - 500

MSCTF.Shared.MUTEX.IM

Keyboard Keys Monitored:

键盘键监测：

Virtual Key Code 虚拟键代码	Times 时报
VK_MENU (18) VK_MENU（18）	2 2
VK_CONTROL (17) VK_CONTROL（17）	2 2
VK_SHIFT (16) VK_SHIFT（16）	2 2
VK_LWIN (91) VK_LWIN（91）	2 2
VK_RWIN (92) VK_RWIN（92）	2 2

最后既然使用了` 推荐下这个在线行为分析` 名字非常个性` 阿努比斯` =.=

传送门 http://anubis.iseclab.org/ 竟然有高级分析` =.= `

纯手动去毛边` 我太勤劳了`

[ 本帖最后由七月沧海于 2009-9-4 01:12 编辑 ]

显示全部楼层 · 发表于 2009-9-3 23:55:48

已上报瑞星，
上报文件成功！
查询编号：RS20090903235050265436
为查询文件分析结果，请记录此编号。谢谢您的参与！

显示全部楼层 · 发表于 2009-9-4 00:16:29

查询编号：RS20090903235050265436
文件名称：RUNSCANNER.rar
文件MD5：4385FF168AE8F36E526640F4CF2E05B1
文件状态：压缩文件，包含1个文件
文件名 MD5 状态病毒名称解决版本号
RUNSCANNER.EXE 2E55574BC... 安全文件

显示全部楼层 · 发表于 2009-9-4 00:41:12

---------------------------
RunScanner Error
---------------------------
Missing command line file name
---------------------------
确定
---------------------------

打开不了。。。

显示全部楼层 · 发表于 2009-9-4 00:48:46

饿`

忘了传` DLL了` 等下` 马上好`

显示全部楼层 · 发表于 2009-9-4 00:49:57

好了` 补充进去了`

显示全部楼层 · 发表于 2009-9-4 01:14:03

---------------------------
RunScanner Error
---------------------------
Missing command line file name
---------------------------
确定
---------------------------

怎么还是一样。。。

不过红伞杀了'TR/Spy.36864.T [trojan]'

[ 本帖最后由 post8 于 2009-9-4 01:16 编辑 ]

显示全部楼层 · 发表于 2009-9-4 01:21:37

饿` 我也是红伞` =.=` 这个事系统盘里面的` 估计是个工具` 我是行为分析我看不懂` =.=

[病毒样本] 未知程序` DLL已添加上传` 行为分析google成了中文`

本帖子中包含更多资源

回复 1楼七月沧海的帖子

[病毒样本] 未知程序` DLL已添加上传` 行为分析google成了中文`

本帖子中包含更多资源

回复 1楼 七月沧海 的帖子

回复 1楼七月沧海的帖子