收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 帮忙分析个病毒
返回列表 发新帖
查看: 3579|回复: 6
收起左侧

[病毒样本] 帮忙分析个病毒

[复制链接]
dst1
发表于 2010-1-8 15:56:08 | 显示全部楼层 |阅读模式
这个病毒很强悍 弄得我只能重装系统 硬盘和移动硬盘都格式化 损失不少文件啊 病毒是感染类型的 还加了壳 真郁闷 密码zzz

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

dreams521
发表于 2010-1-8 16:03:59 | 显示全部楼层
本帖最后由 dreams521 于 2010-1-8 16:08 编辑

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

jason_jiang
发表于 2010-1-8 16:22:17 | 显示全部楼层
本帖最后由 jason_jiang 于 2010-1-11 14:14 编辑

MSE: Virus:Win32/Sality.AM

* Win32/Kashu.B  (AhnLab)
* Win32.Sality.NX (BitDefender)
* Win32/Sality.W (CA)
* Win32.Sector.5 (Dr.Web)
* Win32/Sality.NAO (ESET)
* W32/Sality.AJ (Frisk (F-Prot))
* Virus.Win32.Sality.y (Kaspersky)
* W32/Sality.AE (McAfee)
* W32/Sality.AO (McAfee)
* W32/Smalltroj.DXSV (Norman)
* W32/Sality-AM (Sophos)
* W32.Sality.AE (Symantec)
* Win32.Sality.AK (VirusBuster)

Virus:Win32/Sality.AM是一种多态感染型病毒的一个变种,主要攻击扩展名.SCR or .EXE的Windows可执行文件。

Virus:Win32/Sality.AM的活动可能有以下表现:
* 被感染文件出现意外的大小增长
* 安全软件失效

安装
Win32/Sality的主要安装方式是感染文件。多数变种释放一个DLL,例如:

<system folder>\wmdrtc32.dll
<system folder>\wmdrtc32.dl_

扩展名 '.dl_' 的是DLL的压缩副本。DLL包含了病毒代码。
最近的一些变种,如Win32/Sality.AM,不在硬盘上释放DLL,而是完全加载到内存中。

文件感染  
Virus:Win32/Sality通常攻击C盘的EXE和SCR文件。被感染的文件大小会增加。

删除安软相关文件
Sality变种通常会删除和安软更新有关的文件:
.AVC
.KEY
.VDB

终止安软进程
Win32/Sality广泛搜索并试图终止安软进程,并删除相关服务。

窃取敏感信息
一些Virus:Win32/Sality变种可窃取缓存的密码、记录击键动作。

下载并执行文件
Win32/Sality变种通常试图下载并执行其他文件。也可能会先试图连接微软网站,以确定网络是否连通。

降低系统安全性
Win32/Sality变种可能修改注册表以降低系统安全性。

  • 禁用UAC
    修改值: EnableLUA
    数据: "0"
    位于子键: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\System
  • 修改Windows防火墙设置,允许病毒联网
    添加值: <Win32/Sality file name>
    数据: "<Win32/Sality file name>:*:enabled:ipsec"
    位于子键: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\FirewallPolicy\StandardProfile\AuthorizedApplications\List
  • 禁用Windows防火墙
    修改值: EnableFirewall
    数据: "0"
    位于子键: HKLM\SYSTEM\CurrentControlSet\Services\SharedAccess\Parameters\
    FirewallPolicy\StandardProfile
  • 重定向NETSH事件跟踪会话日志
    修改值: LogSessionName
    数据: "stdout"
    位于子键: HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\NAP\Netsh
  • 禁止安全中心监控杀软状态
    修改值: AntiVirusOverride
    数据: "1"
    位于:
    HKLM\SOFTWARE\Microsoft\Security Center
    HKLM\SOFTWARE\Microsoft\Security Center\Svc
  • 禁用任务管理器
    修改值: DisableTaskMgr
    数据: "1"
    位于子键: HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\System
  • 禁用IE脱机模式
    修改值: GlobalUserOffline
    数据: "0"
    位于子键: HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings
  • 使隐藏文件保持隐藏
    修改值: Hidden
    数据: "2"
    位于子键: HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
回复

举报

username
发表于 2010-1-8 16:31:06 | 显示全部楼层
2010-1-8 16:31:02    修改注册表值    阻止并结束进程
进程: d:\emule\1\1\样本\新建文件夹\mrt.exe
目标: HKEY_USERS\S-1-5-21-1202660629-838170752-1801674531-1001\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
值: 0x00000002(2)
规则: [注册表组]自动击杀用 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced; Hidden

这个是被感染了的windows恶意软件删队除工具
会插入其它进程
然后用其它进程对exe文件进行感染

碰了我3次自动kill规则才测出来= =
回复

举报

秋雨
发表于 2010-1-8 16:43:51 | 显示全部楼层
2010-01-08 16:32:23    创建文件      操作:阻止
进程路径:D:\Downloads\A\1\新建文件夹\mrt.exe
文件路径:C:\WINDOWS\Debug\mrt.log
触发规则:所有程序规则->A02…有关文件创建修改组(含黑名单)->%windir%\*


2010-01-08 16:32:23    修改注册表内容      操作:阻止
进程路径:D:\Downloads\A\1\新建文件夹\mrt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:Hidden
触发规则:所有程序规则->A07…系统和软件操作(黑白)->*\Software\Microsoft\Windows*\*


2010-01-08 16:32:23    创建注册表值      操作:阻止
进程路径:D:\Downloads\A\1\新建文件夹\mrt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
注册表名称:DisableTaskMgr
触发规则:所有程序规则->A07…系统和软件操作(黑白)->*\Software\Microsoft\Windows*\*


2010-01-08 16:32:23    创建注册表值      操作:阻止
进程路径:D:\Downloads\A\1\新建文件夹\mrt.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\System
注册表名称:DisableRegistryTools
触发规则:所有程序规则->A07…系统和软件操作(黑白)->*\Software\Microsoft\Windows*\*


2010-01-08 16:32:23    创建注册表值      操作:阻止
进程路径:D:\Downloads\A\1\新建文件夹\mrt.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system
注册表名称:EnableLUA
触发规则:所有程序规则->A07…系统和软件操作(黑白)->*\Software\Microsoft\Windows*\*


2010-01-08 16:32:23    修改文件      操作:阻止
进程路径:D:\Downloads\A\1\新建文件夹\mrt.exe
文件路径:C:\WINDOWS\SYSTEM.INI
触发规则:应用程序规则->A02…禁止读取的文件->*.*->*\System.ini


2010-01-08 16:32:23    修改其它进程内存      操作:阻止并结束进程
进程路径:D:\Downloads\A\1\新建文件夹\mrt.exe
目标进程:C:\WINDOWS\Explorer.EXE
触发规则:所有程序规则->A01…禁止注入系统进程(黑名单)->%windir%\Explorer.EXE
回复

举报

dst1
 楼主| 发表于 2010-1-9 14:24:00 | 显示全部楼层
谢谢那你们 你们高手 我每次分析都是中一次毒 分析不出来 这病毒也牛 都被他感染了
回复

举报

悠柚
发表于 2010-1-9 15:08:47 | 显示全部楼层
D:\TDDownload\1\新建文件夹\mrt.exe,查到病毒: W32/Sality.AA, 操作: 删除/隔离
回复

举报

返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2026-4-20 06:12 , Processed in 0.091350 second(s), 4 queries , Redis On.

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表