收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 关于小猫病毒的测试
12下一页
返回列表 发新帖
查看: 3887|回复: 19
收起左侧

[病毒样本] 关于小猫病毒的测试

[复制链接]
九尾野狐
头像被屏蔽
发表于 2007-6-3 19:40:50 | 显示全部楼层 |阅读模式
一个感染蠕虫病毒,样本之前就发过了

会感染.exe文件

首先用影子试试

看能不能突破影子








之后开启EQ 3.4 RC

运行病毒

能够拦截病毒运行及修改.exe文件的动作

这里为了获得被感染样本

所以允许了操作












以下是原EQ安装程序与被病毒修改后的EQ安装程序文件头的对比








PS.升级至07.06.03   15:23病毒库的卡巴斯基不能查杀该感染样本

由于感染文件有1.4M大(是EQ的安装程序)

而我网速慢

所以分卷压缩

在2楼上传试试

上传不了的话

就明天网速快的时候再传


以下是这次测试的EQ日志


2007-06-03 17:27:25    运行应用程序      操作:允许
进程路径:C:\Program Files\BlackBox\blackbox.exe
文件路径:E:\once\小猫\小猫\setup.exe
规则:应用程序规则->程序行为_病毒测试模式->C:\Program Files\BlackBox\blackbox.exe
2007-06-03 17:27:29    加载库文件      操作:允许
进程路径:E:\once\小猫\小猫\setup.exe
文件路径:C:\WINDOWS\system32\msvbvm60.dll
规则:所有程序规则->*
2007-06-03 17:27:30    加载库文件      操作:允许
进程路径:E:\once\小猫\小猫\setup.exe
文件路径:C:\WINDOWS\system32\shimeng.dll
规则:所有程序规则->*
2007-06-03 17:27:31    加载库文件      操作:允许
进程路径:E:\once\小猫\小猫\setup.exe
文件路径:C:\WINDOWS\AppPatch\AcGenral.dll
规则:所有程序规则->*
2007-06-03 17:27:31    加载库文件      操作:允许
进程路径:E:\once\小猫\小猫\setup.exe
文件路径:C:\WINDOWS\system32\winmm.dll
规则:所有程序规则->*
2007-06-03 17:27:32    加载库文件      操作:允许
进程路径:E:\once\小猫\小猫\setup.exe
文件路径:C:\WINDOWS\system32\msacm32.dll
规则:所有程序规则->*
2007-06-03 17:27:33    加载库文件      操作:允许
进程路径:E:\once\小猫\小猫\setup.exe
文件路径:C:\WINDOWS\system32\uxtheme.dll
规则:所有程序规则->*
2007-06-03 17:27:34    加载库文件      操作:允许
进程路径:E:\once\小猫\小猫\setup.exe
文件路径:C:\WINDOWS\system32\imm32.dll
规则:所有程序规则->*
2007-06-03 17:27:35    加载库文件      操作:允许
进程路径:E:\once\小猫\小猫\setup.exe
文件路径:C:\WINDOWS\system32\lpk.dll
规则:所有程序规则->*
2007-06-03 17:27:36    加载库文件      操作:允许
进程路径:E:\once\小猫\小猫\setup.exe
文件路径:C:\WINDOWS\system32\usp10.dll
规则:所有程序规则->*
2007-06-03 17:27:37    加载库文件      操作:允许
进程路径:E:\once\小猫\小猫\setup.exe
文件路径:C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2180_x-ww_a84f1ff9\comctl32.dll
规则:所有程序规则->*
2007-06-03 17:27:38    加载库文件      操作:允许
进程路径:E:\once\小猫\小猫\setup.exe
文件路径:C:\WINDOWS\system32\MSCTF.dll
规则:所有程序规则->*
2007-06-03 17:27:39    加载库文件      操作:允许
进程路径:E:\once\小猫\小猫\setup.exe
文件路径:C:\WINDOWS\system32\sxs.dll
规则:所有程序规则->*
2007-06-03 17:27:40    加载库文件      操作:允许
进程路径:E:\once\小猫\小猫\setup.exe
文件路径:C:\WINDOWS\system32\MSCTFIME.IME
规则:所有程序规则->*
2007-06-03 17:27:42    创建文件      操作:允许
进程路径:E:\once\小猫\小猫\setup.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\~DF6F41.tmp
规则:所有程序规则->IE临时文件规则_病毒测试模式->?:\Documents and Settings\*\Local Settings\Temp\*
2007-06-03 17:27:43    加载库文件      操作:允许
进程路径:E:\once\小猫\小猫\setup.exe
文件路径:C:\WINDOWS\system32\clbcatq.dll
规则:所有程序规则->*
2007-06-03 17:27:44    加载库文件      操作:允许
进程路径:E:\once\小猫\小猫\setup.exe
文件路径:C:\WINDOWS\system32\comres.dll
规则:所有程序规则->*
2007-06-03 17:27:46    加载库文件      操作:允许
进程路径:E:\once\小猫\小猫\setup.exe
文件路径:C:\WINDOWS\system32\scrrun.dll
规则:所有程序规则->*
2007-06-03 17:27:48    加载库文件      操作:允许
进程路径:E:\once\小猫\小猫\setup.exe
文件路径:C:\WINDOWS\system32\mfc42loc.dll
规则:所有程序规则->*
2007-06-03 17:27:48    创建文件      操作:阻止
进程路径:E:\once\小猫\小猫\setup.exe
文件路径:C:\Documents And Settings\All Users\「开始」菜单\程序\启动\setup.exe
规则:所有程序规则->Documents and Settings->?:\Documents and Settings\*\「开始」菜单\程序\*
2007-06-03 17:27:52    修改文件      操作:允许
进程路径:E:\once\小猫\小猫\setup.exe
文件路径:E:\Saft Soft\EQSysSecureSetup.exe
规则:所有程序规则->全局_文件规则_病毒测试模式->?:\*.exe
2007-06-03 17:27:55    创建文件      操作:允许
进程路径:E:\once\小猫\小猫\setup.exe
文件路径:E:\Saft Soft\EQSysSecureSetup.execz_mp3
规则:所有程序规则->全局_文件规则_病毒测试模式->?:\*.exe
2007-06-03 17:27:57    创建文件      操作:允许
进程路径:E:\once\小猫\小猫\setup.exe
文件路径:E:\Saft Soft\EQSysSecureSetup.execz_mp3
规则:所有程序规则->全局_文件规则_病毒测试模式->?:\*.exe
2007-06-03 17:28:12    创建文件      操作:允许
进程路径:E:\once\小猫\小猫\setup.exe
文件路径:E:\Saft Soft\EQSysSecureSetup.exe
规则:所有程序规则->全局_文件规则_病毒测试模式->?:\*.exe
2007-06-03 17:28:13    修改文件      操作:允许
进程路径:E:\once\小猫\小猫\setup.exe
文件路径:E:\Saft Soft\EQSysSecureSetup.exe
规则:所有程序规则->全局_文件规则_病毒测试模式->?:\*.exe
2007-06-03 17:28:20    修改文件      操作:允许
进程路径:E:\once\小猫\小猫\setup.exe
文件路径:E:\Saft Soft\EQSysSecureSetup.execz_mp3
规则:所有程序规则->全局_文件规则_病毒测试模式->?:\*.exe
2007-06-03 17:28:32    修改文件      操作:允许
进程路径:E:\once\小猫\小猫\setup.exe
文件路径:E:\Saft Soft\EQSysSecureSetup.exe
规则:所有程序规则->全局_文件规则_病毒测试模式->?:\*.exe
回复

举报

九尾野狐
头像被屏蔽
 楼主| 发表于 2007-6-3 19:50:10 | 显示全部楼层
只有慢慢来了

一次一部分

[ 本帖最后由 没注册 于 2007-6-3 20:11 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

九尾野狐
头像被屏蔽
 楼主| 发表于 2007-6-3 20:12:31 | 显示全部楼层
NND

终于传完了

用其他杀软的下载来查查吧
回复

举报

zelda1983
发表于 2007-6-3 20:13:41 | 显示全部楼层
NOD32和蜘蛛貌似...
没开VM不敢试微点...

[ 本帖最后由 zelda1983 于 2007-6-3 20:15 编辑 ]
回复

举报

wangjay1980
发表于 2007-6-3 20:15:56 | 显示全部楼层
卡巴扫描没反应
回复

举报

mhj144007
发表于 2007-6-3 20:33:27 | 显示全部楼层
Analysis Summary:

Analysis Date 6/3/2007 8:24:15 AM
Sandbox Version 1.115
Filename 300bba91cd48ffb6fd44bbd41c2f8bcc.exe

Technical Details:

Analysis Number 1
Parent ID 0
Process ID 624
Filename c:\temp\300bba91cd48ffb6fd44bbd41c2f8bcc.exe
Filesize 1616715 bytes
MD5 300bba91cd48ffb6fd44bbd41c2f8bcc
Start Reason AnalysisTarget
Termination Reason Timeout
Start Time 00:00.110
Stop Time 01:00.282
Detection (Authentium Command Antivirus)
(BitDefender Antivirus)
(CounterSpy)
(Microsoft Malware Protection)
(Norton AntiVirus)

DLL-Handling Loaded DLLs
c:\temp\300bba91cd48ffb6fd44bbd41c2f8bcc.exe
C:\WINDOWS\System32\ntdll.dll
C:\WINDOWS\system32\kernel32.dll
C:\WINDOWS\system32\VERSION.dll
C:\WINDOWS\system32\SHELL32.dll
C:\WINDOWS\system32\ADVAPI32.dll
C:\WINDOWS\system32\RPCRT4.dll
C:\WINDOWS\system32\GDI32.dll
C:\WINDOWS\system32\USER32.dll
C:\WINDOWS\system32\msvcrt.dll
C:\WINDOWS\system32\SHLWAPI.dll
C:\WINDOWS\WinSxS\X86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.1612_x-ww_7c379b08\
C:\WINDOWS\system32\ole32.dll
C:\WINDOWS\system32\OLEAUT32.dll
C:\WINDOWS\System32\wsock32.dll
C:\WINDOWS\System32\WS2_32.dll
C:\WINDOWS\System32\WS2HELP.dll
C:\WINDOWS\System32\pstorec.dll
C:\WINDOWS\System32\ATL.DLL
C:\WINDOWS\System32\Wship6.dll
C:\WINDOWS\System32\iphlpapi.dll
C:\WINDOWS\System32\Secur32.dll
advapi32.dll
kernel32.dll
comctl32.dll
wininet.dll
COMCTL32
KERNEL32
.\UxTheme.dll
UxTheme.dll


Filesystem Opened Files
c:\temp\300bba91cd48ffb6fd44bbd41c2f8bcc.exe

Deleted Files
C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_is2.tmp

Chronological order
Open File: c:\temp\300bba91cd48ffb6fd44bbd41c2f8bcc.exe (OPEN_EXISTING)
Get File Attributes: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_is2.tmp Flags: (SECURITY_ANONYMOUS)
Set File Attributes: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_is2.tmp Flags: (FILE_ATTRIBUTE_NORMAL,SECURITY_ANONYMOUS)
Delete File: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_is2.tmp
Get File Attributes: C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\_is2 Flags: (SECURITY_ANONYMOUS)


INI Files Read INI File
c:\temp\Setup.INI [KEY] PASSWORD =
c:\temp\Setup.INI [Startup] Product =
c:\temp\0x0000.ini [0x0000] 1153 =
c:\temp\0x0000.ini [0x0000] 1108 =
c:\temp\0x0000.ini [0x0000] OK =


Registry  
System Info  
Window Enum Windows
回复

举报

tracydk
发表于 2007-6-3 21:00:03 | 显示全部楼层
已上报给ALWIL
回复

举报

scottxzt
发表于 2007-6-3 22:56:25 | 显示全部楼层
PASS
回复

举报

Nblock
发表于 2007-6-3 23:31:23 | 显示全部楼层
0118

[ 本帖最后由 Nblock 于 2007-6-3 23:33 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

wangjay1980
发表于 2007-6-3 23:32:54 | 显示全部楼层
Hello.
No malicious software was found in the attached file.

Please quote all when answering. Do not forget to include you registration data.
-----------------
Regards, Maslennikov Denis
Virus Analyst, Kaspersky Lab.

Ph.: +7(495) 797-8700
E-mail: newvirus@kaspersky.com
http://www.kaspersky.com   http://www.viruslist.com


> Attachment: EQSysSecureSetup.zip
回复

举报

下一页 »
12下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-6-2 07:18 , Processed in 0.121676 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表