囧～俺依然存在～免杀率不高的一个后门

囧神

囧～最近一段时间懒了，好久没“玩”病毒了，这次哪个病毒小测一下，证明我还在的～囧囧

实地测试过360sd～ ～在线扫描如下，面杀率并不高～

在线扫描结果：

VirSCAN.org Scanned Report :
Scanned time   : 2009/11/26 20:25:21 (CST)
Scanner results: 62%的杀软(23/37)报告发现病毒
File Name      : F.rar
File Size      : 240966 byte
File Type      : RAR archive data, v1d, os
MD5            : e6d4aea2deadf5f11dd4cd9ab738da0e
SHA1           : bc8e4c840c49ebcd2629d53fef8b1bb4c73dfd69
Online report  : http://virscan.org/report/2c97cd1802b32b093e6e3988203e455b.html
Scanner        Engine Ver      Sig Ver           Sig Date    Time   Scan result
a-squared      4.5.0.8         20091126203346    2009-11-26  4.39   Virus.Worm.Win32.AutoRun!IK
安博士V3       2009.11.26.01   2009.11.26        2009-11-26  2.25   -
AntiVir        8.2.1.78        7.10.1.107        2009-11-26  0.37   TR/Dldr.Agent.wif.9
安天           2.0.18          20091126.3315741  2009-11-26  0.17   -
Arcavir        2009            200911260036      2009-11-26  0.08   Trojan.Clicker.Cycler.Ihv
Authentium     5.1.1           200911260930      2009-11-26  1.49   -
AVAST!         4.7.4           091126-0          2009-11-26  0.02   Win32:Trojan-gen
AVG            8.5.288         270.14.83/2526    2009-11-26  0.31   Generic_r.CU
BitDefender    7.81008.4604342 7.29149           2009-11-26  3.94   -
CA (VET)       35.1.0          7142              2009-11-25  4.08   Win32/SillyAutorun.CBB trojan.
ClamAV         0.95.2          10078             2009-11-26  0.05   Worm.Autorun-2248
Comodo         3.12            3043              2009-11-26  0.78   -
CP Secure      1.3.0.5         2009.11.26        2009-11-26  0.13   -
Dr.Web         4.44.0.9170     2009.11.26        2009-11-26  7.20   Trojan.Click.33884
F-Prot         4.4.4.56        20091125          2009-11-25  1.45   -
F-Secure       7.02.73807      2009.11.26.04     2009-11-26  0.17   Worm.Win32.AutoRun.ayfx [AVP]
飞塔           11.96-          11.96             2009-11-26  0.18   -
GData          19.9010/19.586  20091126          2009-11-26  5.69   Worm.Win32.AutoRun.ayfx [Engine:A]
ViRobot        20091125        2009.11.25        2009-11-25  0.52   -
Ikarus         T3.1.01.74      2009.11.26.74597  2009-11-26  4.12   Virus.Worm.Win32.AutoRun
江民杀毒       11.0.800        2009.11.25        2009-11-25  5.22   -
卡巴斯基       5.5.10          2009.11.26        2009-11-26  0.10   Worm.Win32.AutoRun.ayfx
金山毒霸       2009.2.5.15     2009.11.26.19     2009-11-26  0.56   Worm.AutoRun.277007
迈克菲         5.3.00          5813              2009-11-25  3.43   W32/Autorun.worm.fh
Microsoft      1.5302          2009.11.26        2009-11-26  7.09   Worm:Win32/Swimnag.gen!A.dll
Norman         6.01.09         6.01.00           2009-11-25  4.01   W32/AutoRun.AOUZ
熊猫卫士       9.05.01         2009.11.25        2009-11-25  1.72   -
趋势科技       9.000-1003      6.654.02          2009-11-26  0.07   -
Quick Heal     10.00           2009.11.26        2009-11-26  1.23   Trojan.Agent.ATV
瑞星           20.0            22.23.03.10       2009-11-26  1.12   Trojan.DL.Win32.Mnless.fsa
Sophos         3.01.0          4.47              2009-11-26  3.05   Mal/Generic-A
Sunbelt        5518            5518              2009-11-18  2.38   SmartProtector
赛门铁克       1.3.0.24        20091125.004      2009-11-25  0.09   -
nProtect       20091125.01     6330100           2009-11-25  4.14   -
The Hacker     6.5.0.2         v00078            2009-11-25  0.78   W32/AutoRun.ayfx
VBA32          3.12.12.0       20091125.2123     2009-11-25  2.69   Worm.Win32.AutoRun.ayfx
VirusBuster    4.5.11.10       10.113.29/2005008 2009-11-25  2.49   Worm.AutoRun.AEVE




病毒行为分析如下：

创建文件：无

创建服务：

Remote Access Connection Manager（创建了网络服务～囧）
Telephony (囧，用来控制本地计算机的危险服务）

COM对象：

创建outproc COM服务器  对象名称：{0002DF01-0000-0000-C000-000000000046}
创建COM服务器：
PSDispatch {00020420-0000-0000-C000-000000000046}
{00000339-0000-0000-C000-000000000046}

加载DLL：

C:\WINDOWS\system32\clbcatq.dll
C:\WINDOWS\system32\comres.dll
C:\WINDOWS\system32\imm32.dll
C:\WINDOWS\system32\iphlpapi.dll
C:\WINDOWS\system32\lpk.dll
C:\WINDOWS\system32\MSCTF.dll
C:\WINDOWS\system32\msi.dll
C:\WINDOWS\system32\msi.dll
C:\WINDOWS\system32\psapi.dll
C:\WINDOWS\system32\rasapi32.dll
C:\WINDOWS\system32\rasman.dll
C:\WINDOWS\system32\rpcss.dll
C:\WINDOWS\system32\rtutils.dll
C:\WINDOWS\system32\sensapi.dll
C:\WINDOWS\system32\sxs.dll  
C:\WINDOWS\system32\tapi32.dll
C:\WINDOWS\system32\UmxSbxw.dll
C:\WINDOWS\system32\usp10.dll
C:\WINDOWS\system32\uxtheme.dll
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\winmm.dll
C:\WINDOWS\system32\ws2_32.dll
C:\WINDOWS\system32\ws2help.dll
C:\WINDOWS\system32\xpsp2res.dll
C:\WINDOWS\WindowsShell.Manifest
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll


写入注册表：

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\AppData
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Cache
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Cookies（囧～这个不用我解释吧～）
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\History（历史文件都不放过）
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\MigrateProxy
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable
HKCU\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Connections\\SavedLegacySettings
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Common AppData
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\\Directory
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\\Paths
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\\CacheLimit
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\\CachePath
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path2\\CacheLimit
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path2\\CachePath
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path3\\CacheLimit
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path3\\CachePath
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path4\\CacheLimit
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path4\\CachePath
HKLM\System\CurrentControlSet\Hardware Profiles\00\Software\Microsoft\windows\CurrentVersion\Internet Settings\\ProxyEnable

创建进程：

X:\你的浏览器文件夹\你的浏览器.exe （囧，总之会创建你的浏览器进程，并不停访问：Http://www.supernetforme.com/search.php?q=1234.2035.274.512.0.97829ec1cbcb1dde33247e7284c8b98dd72037bfee7151f56d2ad2998494092c.1.2366212这个页面，H那里做一下屏蔽，囧）

囧～最后悲剧的发现我的RVS2010被穿了，囧囧，貌似病毒还有进行文件夹重命名或者其他少数行为，不过因为本人水平有限，反汇编的时候并没有找到~囧囧

病毒样本：

[ 本帖最后由 囧神 于 2009-11-26 21:19 编辑 ]

IllusionWing

sofa之。

中国崛起

费尔kill all

塞班

哈哈，玩出火了吧。。。

囧神

原帖由 塞班 于 2009-11-26 20:59 发表
哈哈，玩出火了吧。。。

囧，咱还没玩到能让计算机自燃的病毒~囧囧

1e3e

百锐又没查出来

hddu

2009-11-26 21:12:35    创建文件      操作:阻止
进程路径:E:\F\F\dphqu.exe
文件路径:C:\windows\system32\ctfmon .exe
触发规则:所有程序规则->WINDOWS文件夹全局询问设置->%windir%\system32\*.exe

2009-11-26 21:12:36    修改文件      操作:阻止并结束进程
进程路径:E:\F\F\dphqu.exe
文件路径:C:\windows\system32\ctfmon.exe
触发规则:所有程序规则->需要保护的文件->%windir%\system32\ctfmon.exe

adad2008

kv报

尤金卡巴斯基

2009/11/26 22:00:56        已删除        木马程序 Trojan-Clicker.Win32.Cycler.ihv        G:\Temp\Virus\F.rar/F\dphqu.exe       
2009/11/26 22:00:57        已删除        病毒 Worm.Win32.AutoRun.ayfx        G:\Temp\Virus\F.rar/F\dfceeabdbe.dll

通天塔

红伞杀