收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国内杀毒软件 360 没反应
1234下一页
返回列表 发新帖
楼主: jinzijie
 收起左侧

[砖头] 没反应

  [复制链接]
亡灵之月
发表于 2010-10-25 19:46:44 | 显示全部楼层
回复 20楼 你想怎样 的帖子

是最新的D版么?
回复

举报

你想怎样
头像被屏蔽
发表于 2010-10-25 20:30:08 | 显示全部楼层
亡灵之月 发表于 2010-10-25 19:46
回复 20楼 你想怎样 的帖子

是最新的D版么?

还是C版测试的 ,   

测完了才知道D版已经推出了
回复

举报

√×√×√√×
发表于 2010-10-25 20:39:13 | 显示全部楼层
本帖最后由 √×√×√√× 于 2010-10-25 20:43 编辑
jinzijie 发表于 2010-10-25 18:32
回复 14楼 leisong 的帖子

驱动是没加载,IE被替换为oc后缀的文件,并把系统后缀扩展名隐藏了,伪装自己 ...


刚好测试了下D版依旧被过,研究了下该样本。流程基本如下:

创建以下文件:
C:\Documents and Settings\Administrator\Local Settings\Temp\isttyc.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\nsf26.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\nsj25.tmp
C:\Documents and Settings\Administrator\Local Settings\Temp\nsu27.tmp\System.dll
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\CE93ZPEF\setup[1].exe (联网下载某安装程序)
C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\DP29Z4NI\setup[1].exe(同上)
C:\Documents and Settings\All Users\桌面\Internat Explorar.oc(修改IE为OC文件)
C:\Program Files\Microsoft\Internat Explorar\Desktop.ini(修改桌面配置文件)
C:\Program Files\Microsoft\Internat Explorar\target.lnk(创建快捷方式)
C:\WINDOWS\system32\drivers\hzualwh.sys(创建了服务)
C:\WINDOWS\system32\xfweuks.dll

创建病毒进程
C:\Documents and Settings\Administrator\Local Settings\Temp\aaxccn.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\isttyc.exe
C:\Documents and Settings\Administrator\Local Settings\Temp\krzjuj.exe

在C:\Documents and Settings\Administrator\Local Settings\Temp\  下创建并使用了多达9个批处理配合使用,这是过主动的关键,分别是:
jzsqkk.bat
zjvkbf.bat
moeiyg.bat
kpwvygop.bat
temp_tmp.bat
rohuuafu.bat
wauslsb.bat
obzzddzc.bat
utgtthr.bat

调用进程:
explorer.exe(并没有被插入)
cmd.exe
ping.exe
conime.exe

安装并打开服务
hzualwh
Remote Access Connection Manager (创建联网)
System Event Notification(跟踪系统联网事件)

调用COM项创建
{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4} COM项创建 Security Manager
{00021401-0000-0000-C000-000000000046} COM项创建 快捷方式

写入注册表
HKCR\ocfile\shell\open\command\\  (这项大家都懂的)
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\\HideFileExt
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\CLSID\{871C5380-42A0-1069-A2EA-08002B30309D}\ShellFolder\\Attributes
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{7b6a2e90-8a8c-11df-86e0-806d6172696f}\\BaseClass
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\AppData
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Cache
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Cookies(联网下载时产生的)
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Desktop
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\MigrateProxy
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\\ProxyEnable
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections\\SavedLegacySettings
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\AutoDetect
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\IntranetName
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\ProxyBypass
HKCU\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\\UNCAsIntranet
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache\\@C:\WINDOWS\system32\SHELL32.dll,-22914 (重要,修改了SHELL32)
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache\\@shell32.dll,-21779

以下是病毒创建服务时的hzualwh项
HKLM\System\CurrentControlSet\Services\hzualwh\\DisplayName
HKLM\System\CurrentControlSet\Services\hzualwh\\ErrorControl
HKLM\System\CurrentControlSet\Services\hzualwh\\ImagePath
HKLM\System\CurrentControlSet\Services\hzualwh\\Start
HKLM\System\CurrentControlSet\Services\hzualwh\\Type

基本就是这些了。。。。。囧,写这个好累又没人看。


评分

参与人数 2人气 +2 收起 理由
wlx81702 + 1 这个分析很好。
jinzijie + 1

查看全部评分

回复

举报

jinzijie
 楼主| 发表于 2010-10-25 20:42:29 | 显示全部楼层
回复 23楼 √×√×√√× 的帖子

用什么看的?
回复

举报

√×√×√√×
发表于 2010-10-25 20:42:57 | 显示全部楼层
jinzijie 发表于 2010-10-25 20:42
回复 23楼 √×√×√√× 的帖子

用什么看的?

囧,逆向跟踪。。。。
回复

举报

jinzijie
 楼主| 发表于 2010-10-25 20:45:37 | 显示全部楼层
回复 25楼 √×√×√√× 的帖子

总得有软件观察吧
回复

举报

√×√×√√×
发表于 2010-10-25 20:48:09 | 显示全部楼层
jinzijie 发表于 2010-10-25 20:45
回复 25楼 √×√×√√× 的帖子

总得有软件观察吧

囧,Interactive Disassembler~
回复

举报

jinzijie
 楼主| 发表于 2010-10-25 20:49:36 | 显示全部楼层
√×√×√√× 发表于 2010-10-25 20:48
囧,Interactive Disassembler~

囧,好玩
回复

举报

huazi922
发表于 2010-10-25 20:52:01 | 显示全部楼层
有些看不懂,也不想懂了
回复

举报

dyl210
发表于 2010-10-25 21:44:44 | 显示全部楼层
回复 27楼 √×√×√√× 的帖子

为了测试bsd给不给力,我直接实机解压,选择暂不处理。不过。。。为何仅仅是创建了个假ie?还是可以删掉的,我重启之后卫士快扫表示干净。。。这到底是我悲剧了还是病毒悲剧了?
回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 11:35 , Processed in 0.103522 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表