小毒两只......小A能发现......不知道其他的杀软能不能防住。

显示全部楼层 · 发表于 2010-11-2 10:36:44

昨天晚上捕获的，趁着又时间把小毒丢进了虚拟机测试了一番。
以下是技术分析
由于未做反编译，不能确定此毒用什么语言编写，不过从36引擎杀毒网的扫描结果看，应该是采用批处理写的。
此毒有两个，名称一样，运行后达到的最终效果也一样。但是运行时一个有界面，一个没界面。有界面的那个，会提示用户说正在对计算机进行清理，等待很长时间后，会提示说做了磁盘整理等等，极具迷惑性。
此毒运行后，会自动搜索硬盘中的文件，并将文件名保存到c:\windows\helpMe.ini，而后会释放如下两个文件
C:\windows\crazybat.bat
C:\windows\crazybat.vbs
文件释放完成后，主体停止运行，并自动启动crazybat.bat文件，crazybat.bat调用crazybat.vbs的数据，同时查看c:\windows\helpMe.ini中保存的信息，然后根据c:\windows\crazybat.bat中的规则，对c:\windows\helpMe.ini中提到的文件进行改名，文件一律会被修改成BAT的后缀。文件名全部改完后，主体运行，然后自动删除C:\windows\crazybat.bat和C:\windows\crazybat.vbs。
总结：此毒危害相对较小，并不能感染文件。
PS：以上分析，纯属个人看法，而且因为本人是菜鸟，所以分析中肯定有错误，高手可以指出来！！
在虚拟机上运行的时候，文件名都被修改了。本人一气之下就把虚拟机的盘给格式化了，忘记了裁图。所以没有运行后的效果图。

显示全部楼层 · 发表于 2010-11-2 10:40:12

KIS
Trojan-Ransom.BAT.Agent.e x2

显示全部楼层 · 发表于 2010-11-2 10:44:44

显示全部楼层 · 发表于 2010-11-2 10:46:59

Antivirus Version Last Update Result
AhnLab-V3 2010.11.02.00 2010.11.01 -
AntiVir 7.10.13.77 2010.11.01 -
Antiy-AVL 2.0.3.7 2010.11.01 -
Authentium 5.2.0.5 2010.11.01 W32/Dropper.AHIP
Avast 4.8.1351.0 2010.11.01 Win32:Trojan-gen
Avast5 5.0.594.0 2010.11.01 BV:Agent-DY
AVG 9.0.0.851 2010.11.01 -
BitDefender 7.2 2010.11.01 -
CAT-QuickHeal 11.00 2010.10.26 TrojanDropper.BAT.ft
ClamAV 0.96.2.0-git 2010.11.01 Trojan.Dropper-19980
Comodo 6580 2010.11.01 Heur.Packed.Unknown
DrWeb 5.0.2.03300 2010.11.01 -
Emsisoft 5.0.0.50 2010.11.01 -
eTrust-Vet 36.1.7947 2010.11.01 Win32/FakeAV.CTK
F-Prot 4.6.2.117 2010.11.01 W32/Dropper.AHIP
F-Secure 9.0.16160.0 2010.11.01 Trojan:W32/Delf.DUZ
Fortinet 4.2.249.0 2010.11.01 -
GData 21 2010.11.01 Win32:Trojan-gen
Ikarus T3.1.1.90.0 2010.11.01 -
Jiangmin 13.0.900 2010.11.01 -
K7AntiVirus 9.67.2882 2010.11.01 Trojan
Kaspersky 7.0.0.125 2010.11.01 Trojan-Ransom.BAT.Agent.e
McAfee 5.400.0.1158 2010.11.01 -
McAfee-GW-Edition 2010.1C 2010.11.01 -
Microsoft 1.6301 2010.11.01 -
NOD32 5583 2010.11.01 BAT/CrazyBat.A
Norman 6.06.10 2010.11.01 W32/DelFiles.BP
nProtect 2010-11-01.01 2010.11.01 -
Panda 10.0.2.7 2010.11.01 -
PCTools 7.0.3.5 2010.11.01 -
Prevx 3.0 2010.11.02 Medium Risk Malware
Rising 22.71.06.04 2010.11.01 -
Sophos 4.59.0 2010.11.01 -
Sunbelt 7187 2010.11.01 -
SUPERAntiSpyware 4.40.0.1006 2010.11.01 Trojan.Agent/Gen-FraudLoad.Process
Symantec 20101.2.0.161 2010.11.01 -
TheHacker 6.7.0.1.075 2010.11.01 -
TrendMicro 9.120.0.1004 2010.11.01 -
TrendMicro-HouseCall 9.120.0.1004 2010.11.01 -
VBA32 3.12.14.1 2010.11.01 -
ViRobot 2010.10.4.4074 2010.11.01 Trojan.Win32.Agent.48128.BB
VirusBuster 12.70.15.0 2010.11.01 -

显示全部楼层 · 发表于 2010-11-2 10:48:24

金山扫描说是安全的。

显示全部楼层 · 发表于 2010-11-2 10:51:52

ess kill

D:\下载文件夹\桌面.zip > ZIP > 1111111111111111111111111111111.exe > QUICKBATCH > script.bat - BAT/CrazyBat.A 特洛伊木马
D:\下载文件夹\桌面.zip > ZIP > 2222222222222222222222.exe > QUICKBATCH > script.bat - BAT/CrazyBat.A 特洛伊木马

显示全部楼层 · 发表于 2010-11-2 10:54:07

扫描报告
2010年11月2日星期二 10:53:24 - 10:53:25
计算机名称: A20E29DFFB414AE
扫描类型: 扫描目标
目标: C:\Documents and Settings\Administrator\桌面\新建文件夹\桌面.zip

--------------------------------------------------------------------------------

结果: 找到 1 恶意软件
Trojan:W32/Delf.DUZ (病毒)
C:\Documents and Settings\Administrator\桌面\新建文件夹\桌面.zip\1111111111111111111111111111111.exe

--------------------------------------------------------------------------------

显示全部楼层 · 发表于 2010-11-2 10:54:14

显示全部楼层 · 发表于 2010-11-2 10:57:13

回复 3楼 xiaoyaosanren 的帖子

你强......
居然就给直接运行了

显示全部楼层 · 发表于 2010-11-2 11:08:50

回复 9楼 hanfeilong 的帖子

[病毒样本] 小毒两只......小A能发现......不知道其他的杀软能不能防住。

本帖子中包含更多资源

本帖子中包含更多资源

本帖子中包含更多资源