带数字签名的熊猫烧香

wjcharles

ikimi 发表于 2010-11-20 23:00
终于弄清了如何在未得到私钥的情况下，将所谓的窃取数字证书置于PE文件了

包包里的为熊猫烧香样本，勿运 ...

貌似签名无效啊

hx1997

2010-11-20 23:20:44        应用程序保护(运行应用程序)     操作:允许
进程路径:G:\windows\System32\cmd.exe
文件路径:G:\windows\Explorer.EXE
2010-11-20 23:20:34        应用程序保护(结束/挂起进程)     操作:允许
进程路径:G:\windows\System32\taskkill.exe
目标进程:G:\windows\Explorer.EXE
2010-11-20 23:20:06        应用程序保护(运行应用程序)     操作:允许
进程路径:G:\windows\System32\cmd.exe
文件路径:G:\windows\System32\taskkill.exe
命令行:/f /im Aver.exe
2010-11-20 23:19:44        应用程序保护(运行应用程序)     操作:允许
进程路径:G:\windows\System32\cmd.exe
文件路径:G:\windows\System32\taskkill.exe
命令行:/f /im explorer.exe
2010-11-20 23:19:31        应用程序保护(运行应用程序)     操作:允许
进程路径:G:\Documents and Settings\Administrator.HX-C0987054243B\桌面\Panda\Panda0.exe
文件路径:G:\windows\System32\cmd.exe
命令行:/c "G:\Documents and Settings\Administrator.HX-C0987054243B\桌面\Panda\del.bat"
2010-11-20 23:17:45        应用程序保护(运行应用程序)     操作:允许
进程路径:G:\Documents and Settings\Administrator.HX-C0987054243B\桌面\Panda\Panda0.exe
文件路径:G:\windows\System32\cmd.exe
命令行:/c taskkill /f /im Aver.exe
2010-11-20 23:17:41        应用程序保护(运行应用程序)     操作:允许
进程路径:G:\Documents and Settings\Administrator.HX-C0987054243B\桌面\Panda\Panda0.exe
文件路径:G:\windows\System32\cmd.exe
命令行:/c "G:\Documents and Settings\Administrator.HX-C0987054243B\桌面\Panda\ddel.bat"
2010-11-20 23:17:38        文件保护(创建文件)     操作:允许
进程路径:G:\Documents and Settings\Administrator.HX-C0987054243B\桌面\Panda\Panda0.exe
文件路径:G:\Sandbox\HX\TestThreat\user\current\桌面\Panda\ddel.bat
2010-11-20 23:17:38        文件保护(创建文件)     操作:允许
进程路径:G:\Documents and Settings\Administrator.HX-C0987054243B\桌面\Panda\Panda0.exe
文件路径:G:\Sandbox\HX\TestThreat\user\current\桌面\Panda\del.bat
2010-11-20 23:17:38        注册表保护(创建注册表值)     操作:阻止
进程路径:G:\Documents and Settings\Administrator.HX-C0987054243B\桌面\Panda\Panda0.exe
注册表路径:HKEY_CURRENT_USER\machine\.doc
注册表名称:[Default]
2010-11-20 23:17:38        注册表保护(创建注册表值)     操作:阻止
进程路径:G:\Documents and Settings\Administrator.HX-C0987054243B\桌面\Panda\Panda0.exe
注册表路径:HKEY_CURRENT_USER\user\.doc
注册表名称:[Default]
2010-11-20 23:17:38        注册表保护(创建注册表值)     操作:阻止
进程路径:G:\Documents and Settings\Administrator.HX-C0987054243B\桌面\Panda\Panda0.exe
注册表路径:HKEY_CURRENT_USER\machine\software\Classes\.doc
注册表名称:[Default]
2010-11-20 23:17:38        注册表保护(创建注册表值)     操作:阻止
进程路径:G:\Documents and Settings\Administrator.HX-C0987054243B\桌面\Panda\Panda0.exe
注册表路径:HKEY_CURRENT_USER\machine\system\CurrentControlSet\Hardware Profiles\0001\.doc
注册表名称:[Default]
2010-11-20 23:17:38        注册表保护(创建注册表值)     操作:阻止
进程路径:G:\Documents and Settings\Administrator.HX-C0987054243B\桌面\Panda\Panda0.exe
注册表路径:HKEY_CURRENT_USER\machine\system\CurrentControlSet\Hardware Profiles\0001\.txt
注册表名称:[Default]
2010-11-20 23:17:38        注册表保护(创建注册表值)     操作:阻止
进程路径:G:\Documents and Settings\Administrator.HX-C0987054243B\桌面\Panda\Panda0.exe
注册表路径:HKEY_CURRENT_USER\user\.txt
注册表名称:[Default]
2010-11-20 23:17:38        注册表保护(创建注册表值)     操作:阻止
进程路径:G:\Documents and Settings\Administrator.HX-C0987054243B\桌面\Panda\Panda0.exe
注册表路径:HKEY_CURRENT_USER\machine\.txt
注册表名称:[Default]
2010-11-20 23:17:37        注册表保护(创建注册表值)     操作:阻止
进程路径:G:\Documents and Settings\Administrator.HX-C0987054243B\桌面\Panda\Panda0.exe
注册表路径:HKEY_CURRENT_USER\machine\software\Classes\.txt
注册表名称:[Default]
2010-11-20 23:17:37        注册表保护(创建注册表值)     操作:阻止
进程路径:G:\Documents and Settings\Administrator.HX-C0987054243B\桌面\Panda\Panda0.exe
注册表路径:HKEY_CURRENT_USER\machine\system\CurrentControlSet\Hardware Profiles\0001\.lnk
注册表名称:[Default]
2010-11-20 23:17:37        注册表保护(创建注册表值)     操作:阻止
进程路径:G:\Documents and Settings\Administrator.HX-C0987054243B\桌面\Panda\Panda0.exe
注册表路径:HKEY_CURRENT_USER\user\.lnk
注册表名称:[Default]
2010-11-20 23:17:37        注册表保护(创建注册表值)     操作:阻止
进程路径:G:\Documents and Settings\Administrator.HX-C0987054243B\桌面\Panda\Panda0.exe
注册表路径:HKEY_CURRENT_USER\machine\.lnk
注册表名称:[Default]
2010-11-20 23:17:37        注册表保护(创建注册表值)     操作:阻止
进程路径:G:\Documents and Settings\Administrator.HX-C0987054243B\桌面\Panda\Panda0.exe
注册表路径:HKEY_CURRENT_USER\machine\software\Classes\.lnk
注册表名称:[Default]
2010-11-20 23:17:37        注册表保护(创建注册表值)     操作:阻止
进程路径:G:\Documents and Settings\Administrator.HX-C0987054243B\桌面\Panda\Panda0.exe
注册表路径:HKEY_CURRENT_USER\machine\software\Classes\.exe
注册表名称:[Default]
2010-11-20 23:17:37        注册表保护(创建注册表值)     操作:阻止
进程路径:G:\Documents and Settings\Administrator.HX-C0987054243B\桌面\Panda\Panda0.exe
注册表路径:HKEY_CURRENT_USER\machine\.exe
注册表名称:[Default]
2010-11-20 23:17:37        注册表保护(创建注册表值)     操作:阻止
进程路径:G:\Documents and Settings\Administrator.HX-C0987054243B\桌面\Panda\Panda0.exe
注册表路径:HKEY_CURRENT_USER\user\.exe
注册表名称:[Default]
2010-11-20 23:17:37        注册表保护(创建注册表值)     操作:阻止
进程路径:G:\Documents and Settings\Administrator.HX-C0987054243B\桌面\Panda\Panda0.exe
注册表路径:HKEY_CURRENT_USER\machine\system\CurrentControlSet\Hardware Profiles\0001\.exe
注册表名称:[Default]
2010-11-20 23:17:36        注册表保护(创建注册表值)     操作:阻止
进程路径:G:\Documents and Settings\Administrator.HX-C0987054243B\桌面\Panda\Panda0.exe
注册表路径:HKEY_CURRENT_USER\machine\software\Classes\exefile\DefaultIcon
注册表名称:[Default]
2010-11-20 23:17:36        文件保护(创建文件)     操作:允许
进程路径:G:\Documents and Settings\Administrator.HX-C0987054243B\桌面\Panda\Panda0.exe
文件路径:G:\Sandbox\HX\TestThreat\drive\C\windows\system32\bzdhz.ico


别告诉我又是那个改exe图标的熊猫...

Hey

回复 22楼 hx1997 的帖子

对，就是那个熊猫…

thelordisone

ESET杀了

fatezero

KIS
Trojan.Win32.Agent.fntv X2

签名无效       

hx1997

回复 23楼 Hey 的帖子

为什么这种“伪熊猫”这么流行...
另外，乃的积分...

陌染淡殇

微点和EAV，双双拦截！！

wjcharles

ikimi 发表于 2010-11-20 23:00
终于弄清了如何在未得到私钥的情况下，将所谓的窃取数字证书置于PE文件了

包包里的为熊猫烧香样本，勿运 ...

nis2011sonar 可以杀的啊，在文件分析里也显示未签名，LZ是不是没有联网？

sniper9877

原来是无效的数字签名……
这个数字签名的加密技术不可能这么轻易被破解的。什么时候病毒能给自己带上微软的有效签名，那就牛了

ikimi

sniper9877 发表于 2010-11-20 23:39
原来是无效的数字签名……
这个数字签名的加密技术不可能这么轻易被破解的。什么时候病毒能给自己带上微软 ...

伴随着计算机硬件的发展，SHA1已经不再那么可靠了，已经有SHA256的数字证书了