囧～纯粹用来学习分析，自己做了个样本

显示全部楼层 · 发表于 2009-11-29 14:10:31

囧～最近病毒样本少的可怜，无奈的情况下，自己做了个远程连接的后门，没什么复杂技术，

不过能过的杀软相当的少，采用的方法是替换系统本身的Background Intelligent Transfer Service 服务，没有加壳，因为发现加壳后发现某些WS杀软直接报壳，导致检测率上升到59%

，所以干脆不加壳算了。囧

实地测试能被360sd检测到，在线扫描

扫描结果 :

54%的杀软(20/37)报告发现病毒

病毒行为分析：（囧，因为是自己做的行为比较透彻，所以注释的详细点～）

创建文件：

C:\Documents and Settings\Administrator\Local Settings\Temp\1141621_res.tmp

（囧，创建，写入后直接删除，临时文件么～）
C:\WINDOWS\system32\360安全卫士.dll （囧，好吧，我承认我WS了～）

创建服务：
Remote Access Connection Manager （囧，不用我说名吧？后门的经典服务，用来创建网络服务的）
Background Intelligent Transfer Service (囧，后门服务，用来给客户端传输数据的）
Telephony （囧，提供网络支持，用来控制本地计算机的）

创建进程：无

COM对象：无

创建注册表：
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9aba8e90-dc0f-11de-984b-806d6172696f}\\BaseClass
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9aba8e91-dc0f-11de-984b-806d6172696f}\\BaseClass
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{9aba8e92-dc0f-11de-984b-ca683b74b77f}\\BaseClass
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\AppData
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Cache
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Cookies
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\History
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\MigrateProxy
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\DefaultConnectionSettings
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\IntranetName
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\ProxyBypass
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\UNCAsIntranet
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Common AppData
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\\Directory
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\\Paths
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\\CacheLimit
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\\CachePath
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path2\\CacheLimit
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path2\\CachePath
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path3\\CacheLimit
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path3\\CachePath
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path4\\CacheLimit
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path4\\CachePath
HKLM\System\CurrentControlSet\Hardware Profiles\0001\Software\Microsoft\windows\CurrentVersion\Internet Settings\\ProxyEnable
HKLM\System\CurrentControlSet\Services\BITS\Parameters\\ServiceDll

加载DLL：
C:\WINDOWS\system32\360安全卫士.dll （囧，之前创建的那个就是用在这的～）
C:\WINDOWS\system32\avicap32.dll
C:\WINDOWS\system32\dnsapi.dll
C:\WINDOWS\system32\hnetcfg.dll
C:\WINDOWS\system32\imm32.dll
C:\WINDOWS\system32\iphlpapi.dll
C:\WINDOWS\system32\lpk.dll
C:\WINDOWS\system32\mlang.dl
C:\WINDOWS\system32\msv1_0.dll
C:\WINDOWS\system32\msvfw32.dll
C:\WINDOWS\system32\mswsock.dll
C:\WINDOWS\system32\psapi.dll
C:\WINDOWS\system32\rasadhlp.dll
C:\WINDOWS\system32\rasapi32.dll
C:\WINDOWS\system32\rasman.dll
C:\WINDOWS\system32\rpcss.dll
C:\WINDOWS\system32\rtutils.dll
C:\WINDOWS\system32\sensapi.dll
C:\WINDOWS\system32\setupapi.dll
C:\WINDOWS\system32\tapi32.dll
C:\WINDOWS\system32\UmxSbxw.dll
C:\WINDOWS\system32\usp10.dll
C:\WINDOWS\system32\uxtheme.dll
C:\WINDOWS\system32\winmm.dll
C:\WINDOWS\system32\winrnr.dll
C:\WINDOWS\system32\ws2_32.dll
C:\WINDOWS\system32\ws2help.dll
C:\WINDOWS\system32\wshtcpip.dll
C:\WINDOWS\system32\wsock32.dll
C:\WINDOWS\WindowsShell.Manifest
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll

网络连接：（1）
出站TCP访问
远程端口：80
本地端口：1348
远程IP：囧，这个可以不用写

网络连接：（2）
出站TCP访问
远程端口：80
本地端口：1349
远程IP：囧，这个可以不用写

网络连接：（3）
出站TCP访问
远程端口：80
本地端口：1350
远程IP：囧，这个可以不用写

网络连接：（4）
出站TCP访问
远程端口：80
本地端口：1351
远程IP：囧，这个可以不用写

[ 本帖最后由囧神于 2009-11-29 14:16 编辑 ]

显示全部楼层 · 发表于 2009-11-29 14:22:37

mpav kill

显示全部楼层 · 发表于 2009-11-29 14:23:55

微点

显示全部楼层 · 发表于 2009-11-29 14:25:04

lz签名最有劲～

显示全部楼层 · 发表于 2009-11-29 14:25:10

LS两位测试MP好快

显示全部楼层 · 发表于 2009-11-29 14:33:08

太好了，又有得玩了。

显示全部楼层 · 发表于 2009-11-29 14:33:17

费尔报Backdoor.Nbdd.fb.jjkp

显示全部楼层 · 发表于 2009-11-29 15:20:17

瑞星2010
Backdoor.Win32.Delf.djq

显示全部楼层 · 发表于 2009-11-29 15:22:17

kv报

显示全部楼层 · 发表于 2009-11-29 15:35:11

mcafee kill
BackDoor-CKB.gen.ap

[病毒样本] 囧～纯粹用来学习分析，自己做了个样本

本帖子中包含更多资源

本帖子中包含更多资源