一种少见的变态病毒！请大家小心！！！

fastrun

今天一同学说他电脑中毒了，
安装文件不能运行，
他带了个U盘到我这来，
我让他插到我电脑上看看怎么回事。
插上之前我把深山红叶的那个系统安全盾打开了。（这东西能有效避免AUTORUN等U盘病毒，我已经试验过多次了，详见红叶的那个帖子）
打开U盘之前我把显示所有文件，
包括隐藏的系统文件都选上了，
目的就是想看看到底是什么东西在作怪。
令人失望的是打开U盘后里面没有任何异常。
两个文件夹我也仔细检查了。
之后按照他的说法我把其中一个安装文件双击，
提示不能运行。
拔了U盘我再在自己的机器里试着安装一个软件，
果然中招了！
见图1.


起初我怀疑是熊猫烧香的新变种，
于是试着运行其他的EXE文件，
奇怪的是这病毒只感染特定的EXE文件。
如下图2、3、4.
部分安装软件感染，
部分又不感染。
同时也有一部分的可执行文件感染！（不是安装文件）
在这之前小红伞的实时监控一直是打开的，
看来小红伞对这病毒是无能为力了。
GHOST恢复之后，
我试着把刚才的安装程序直接从RAR文件解压出来，
可以正常安装。
欣喜之余又试着把刚才的感染文件双击运行，
才发现问题依旧。
再运行刚才解压出来的文件，
发现还是不行。
听说微点的主动防御还不错，
于是换了个微点，
升级到最新，
运行刚才感染的程序，
再解压程序试着安装，
安装很顺利，
没有任何问题，
可是奇怪的是安装过程中微点什么也没提示！
到此为止，
所有的文件一旦感染之后都无法再运行了。

用System Repair Engineer 2.4.12.806扫描的日志如下：


QUOTE:


[Copy to clipboard]
CODE:
2007-03-25,18:26:13

System Repair Engineer 2.4.12.806
Smallfrogs (http://www.KZTechs.com)

Windows XP Professional Service Pack 2 (Build 2600) - 管理权限用户 - 完整功能

以下内容被选中：
    所有的启动项目（包括注册表、启动文件夹、服务等）
    浏览器加载项
    正在运行的进程（包括进程模块信息）
    文件关联
    Winsock 提供者
    Autorun.inf
    HOSTS 文件


启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ctfmon.exe><C:\WINDOWS\system32\ctfmon.exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <load><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <IMJPMIG8.1><"C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE" /Spoil /RemAdvDef /Migration32>  [(Verified)Microsoft Windows Publisher]
    <PHIME2002ASync><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /SYNC>  [(Verified)Microsoft Windows Publisher]
    <PHIME2002A><C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE /IMEName>  [(Verified)Microsoft Windows Publisher]
    <SoundMan><SOUNDMAN.EXE>  [(Verified)Microsoft Windows Publisher]
    <Logitech Utility><Logi_MwX.Exe>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <shell><Explorer.exe>  [(Verified)Microsoft Windows Publisher]
    <Userinit><C:\WINDOWS\system32\userinit.exe,>  [(Verified)Microsoft Windows Publisher]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
    <AppInit_DLLs><>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Winlogon]
    <UIHost><logonui.exe>  [(Verified)Microsoft Windows Publisher]

==================================
启动文件夹
N/A

==================================
服务
N/A

==================================
驱动程序
[Service for WDM 3D Audio Driver / ALCXSENS][Running/Manual Start]
  <system32\drivers\ALCXSENS.SYS><Sensaura Ltd>
[Service for Realtek AC97 Audio (WDM) / ALCXWDM][Running/Manual Start]
  <system32\drivers\ALCXWDM.SYS><Realtek Semiconductor Corp.>
[IdeBusDr / IdeBusDr][Running/Boot Start]
  <\SystemRoot\system32\DRIVERS\IdeBusDr.sys><Intel Corporation>
[Intel(R) Ultra ATA Controller / IdeChnDr][Running/Boot Start]
  <\SystemRoot\system32\DRIVERS\IdeChnDr.sys><Intel Corporation>
[Logitech PS/2 Mouse Filter Driver / L8042pr2][Stopped/Manual Start]
  <system32\DRIVERS\L8042pr2.Sys><Logitech, Inc.>
[Logitech Mouse Class Filter Driver / LMouFlt2][Stopped/Manual Start]
  <system32\DRIVERS\LMouFlt2.Sys><Logitech, Inc.>
[nv / nv][Running/Manual Start]
  <system32\DRIVERS\nv4_mini.sys><NVIDIA Corporation>
[Direct Parallel Link Driver / Ptilink][Running/Manual Start]
  <system32\DRIVERS\ptilink.sys><Parallel Technologies, Inc.>
[Realtek RTL8139/810X Family PCI Fast Ethernet NIC NT Driver / rtl8139][Running/Manual Start]
  <system32\DRIVERS\RTL8139.SYS><Realtek Semiconductor Corporation>
[Secdrv / Secdrv][Stopped/Manual Start]
  <system32\DRIVERS\secdrv.sys><N/A>

==================================
浏览器加载项
[Messenger]
  {FB5F1910-F110-11d2-BB9E-00C04F795683} <C:\Program Files\Messenger\msmsgs.exe, Microsoft Corporation>
[Active Desktop Mover]
  {72267F6A-A6F9-11D0-BC94-00C04FB67863} <%SystemRoot%\system32\SHELL32.dll, N/A>

==================================
正在运行的进程
[PID: 428][\SystemRoot\System32\smss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 484][\??\C:\WINDOWS\system32\csrss.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
[PID: 1184][C:\WINDOWS\explorer.exe]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [E:\精品软件\系统软件\安全相关\系统监视\Sundy注册表监控 V2.0\RSCoreDll.dll]  [Sundy Soft Corporation, 2.2.2.76]
[PID: 968][E:\精品软件\系统软件\安全相关\病毒防治\system repair\SREng.EXE]  [Smallfrogs Studio, 2.4.12.806]

==================================
文件关联
.TXT  OK. [%SystemRoot%\system32\NOTEPAD.EXE %1]
.EXE  OK. ["%1" %*]
.COM  OK. ["%1" %*]
.PIF  OK. ["%1" %*]
.REG  OK. [regedit.exe "%1"]
.BAT  OK. ["%1" %*]
.SCR  OK. ["%1" /S]
.CHM  OK. ["C:\WINDOWS\hh.exe" %1]
.HLP  OK. [%SystemRoot%\System32\winhlp32.exe %1]
.INI  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.INF  OK. [%SystemRoot%\System32\NOTEPAD.EXE %1]
.VBS  OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.JS   OK. [%SystemRoot%\System32\WScript.exe "%1" %*]
.LNK  OK. [{00021401-0000-0000-C000-000000000046}]

==================================
Winsock 提供者
N/A

==================================
Autorun.inf
N/A

==================================
HOSTS 文件
127.0.0.1       localhost

==================================
API HOOK
N/A

==================================
隐藏进程
N/A

==================================


我怀疑这个病毒是用感染的文件作为载体的，
而且一旦程序涉及注册表的话立马就不能运行。（不管是安装程序还是执行文件。）
原因是我运行在论坛下的那个MPLAYER关联的那个程序也被感染！
曾尝试用软件跟踪病毒的发作过程，
却始终找不到问题所在！
发在这里，
不只是为了单纯清除这个病毒。
（因为我GHOST恢复之后把所有的EXE文件删除机器就没有问题了。熊猫烧香之后我把EXE文件都打包压缩了，就是怕哪天倒霉遇到！ )
在这里真诚的提醒所有赢友小心这个变态的病毒！
同时也请高手出招相助，
消灭这个可恶的家伙！
同时深切BS这个病毒的作者，
抓到了让他牢底坐穿！








原帖在赢政，
转过来让大伙都知道这个可恶的病毒。
病毒已经上报了。

蓝色牛仔裤

建議版主移到樣本区...
这病毒蜘蛛可殺, 过了小紅傘...

bluenice

运行后没任何动作！

7sumetai

ms蜘蛛可以查出来……

晓杰

上面的日志哪里有错?

啪啦啪啦啪

建议楼主上报红伞

周杰伦

这个应该发到样本区的

The EQs

的确可以查出来。。。另外F-secure也可以查出来

mofunzone

都没看出有什么问题
ID        354437
Comment        Automated Samples: f9a1da571c8ff4e476b1ef6eb86806cd.exe
Flag        1


Analysis Summary:Analysis Date        3/25/2007 10:58:15 AM
Sandbox Version        1.115
Filename        f9a1da571c8ff4e476b1ef6eb86806cd.exe


Technical Details:Analysis Number        1
Parent ID        0
Process ID        408
Filename        c:\temp\f9a1da571c8ff4e476b1ef6eb86806cd.exe
Filesize        109644 bytes
MD5        f9a1da571c8ff4e476b1ef6eb86806cd
Start Reason        AnalysisTarget
Termination Reason        Timeout
Start Time        00:00.157
Stop Time        01:00.313
Detection        - (Authentium Command Antivirus - EngVer: 4.92.123.35 - SigVer: 20070111 35)
- (BitDefender Antivirus - EngVer: 7.0.0.2311 - SigVer: 7.10873)
- (CounterSpy - EngVer: 2.1.628.0 - SigVer: 469)
- (Microsoft Malware Protection - EngVer: 1.1.1904.0 - SigVer: Thu Jan 11 14:31:06 2007)
- (Norton AntiVirus - EngVer: 20061.3.0.12 - SigVer: 20070110 16:48:12)
DLL-Handling                Loaded DLLs
c:\temp\f9a1da571c8ff4e476b1ef6eb86806cd.exe
C:\WINDOWS\System32\ntdll.dll
C:\WINDOWS\system32\kernel32.dll
C:\WINDOWS\system32\USER32.dll
C:\WINDOWS\system32\GDI32.dll
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\RPCRT4.dll
C:\WINDOWS\system32\SHELL32.dll
C:\WINDOWS\system32\msvcrt.dll
C:\WINDOWS\system32\SHLWAPI.dll
C:\WINDOWS\WinSxS\X86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.1612_x-ww_7c379b08\
C:\WINDOWS\system32\ole32.dll
C:\WINDOWS\system32\VERSION.dll
C:\WINDOWS\system32\oleaut32.dll
C:\WINDOWS\System32\wsock32.dll
C:\WINDOWS\System32\WS2_32.dll
C:\WINDOWS\System32\WS2HELP.dll
C:\WINDOWS\System32\pstorec.dll
C:\WINDOWS\System32\ATL.DLL
C:\WINDOWS\System32\Wship6.dll
C:\WINDOWS\System32\iphlpapi.dll
C:\WINDOWS\System32\Secur32.dll
user32.dll
.\UxTheme.dll
UxTheme.dll

Filesystem                Opened Files
\\.\PIPE\lsarpc
\\.\PIPE\ntsvcs
c:\temp\f9a1da571c8ff4e476b1ef6eb86806cd.exe
Deleted Files
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsw2.tmp
Chronological order
Get File Attributes: C:\WINDOWS\ Flags: (SECURITY_ANONYMOUS)
Open File: \\.\PIPE\lsarpc (OPEN_EXISTING)
Open File: \\.\PIPE\ntsvcs (OPEN_EXISTING)
Delete File: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\nsw2.tmp
Get File Attributes: c:\temp\f9a1da571c8ff4e476b1ef6eb86806cd.exe Flags: (SECURITY_ANONYMOUS)
Open File: c:\temp\f9a1da571c8ff4e476b1ef6eb86806cd.exe (OPEN_EXISTING)

Process Management        Open Process - Filename (C:\WINDOWS\Explorer.EXE) Target PID: (1436)
System Info        Get System Directory
Virtual Memory        VM Allocate - Target: (1436) Address: ($00B20000) Size: (8192) Protect: (PAGE_EXECUTE_READWRITE) Allocation Type: (MEM_COMMIT)
VM Allocate - Target: (1436) Address: ($00B80000) Size: (4096) Protect: (PAGE_EXECUTE_READWRITE) Allocation Type: (MEM_COMMIT)
VM Allocate - Target: (1436) Address: ($00BA0000) Size: (4096) Protect: (PAGE_EXECUTE_READWRITE) Allocation Type: (MEM_COMMIT)
VM Protect - Target: (1436) Address: ($00010000) Size: (4096) Protect: (PAGE_EXECUTE_READWRITE)
VM Protect - Target: (1436) Address: ($00010000) Size: (4096) Protect: (PAGE_READWRITE)
VM Protect - Target: (1436) Address: ($00010000) Size: (4096) Protect: (PAGE_EXECUTE_READWRITE)
VM Protect - Target: (1436) Address: ($00B21000) Size: (4096) Protect: (PAGE_READWRITE)
VM Protect - Target: (1436) Address: ($00B21000) Size: (4096) Protect: (PAGE_EXECUTE_READWRITE)
VM Protect - Target: (1436) Address: ($00B20000) Size: (8192) Protect: (PAGE_READWRITE)
VM Protect - Target: (1436) Address: ($00B20000) Size: (8192) Protect: (PAGE_EXECUTE_READWRITE)
VM Protect - Target: (1436) Address: ($77E7A000) Size: (4096) Protect: (PAGE_EXECUTE_READWRITE)
VM Protect - Target: (1436) Address: ($77E7A000) Size: (4096) Protect: (PAGE_READWRITE)
VM Protect - Target: (1436) Address: ($77E7A000) Size: (4096) Protect: (PAGE_READONLY,PAGE_READWRITE)
VM Read - Target: (1436) Address: ($00010000) Size: (1)
VM Write - Target: (1436) Address: ($00010000) Size: (1)
VM Write - Target: (1436) Address: ($00B213A1) Size: (108)
VM Write - Target: (1436) Address: ($00B20000) Size: (5025)
VM Write - Target: (1436) Address: ($77E7AFE4) Size: (6)
Window        Find Window - Class Name (Progman) Window Name (Program Manager)
Enum Windows

icka

运行后就一直修改explorer内存,然后出错退出.然后就没反应了..
我RP有问题?