我的qq好友自动发的文件－我的照片，小红伞报毒。

frb11

如题

fatezero

        30/41 (73.2%)

KIS

对象被Packed.Win32.PePatch.lx感染

wjcharles

NIS2011：

ablhr

avast kills

c287432622

2011-03-24 19:20:56        文件保护(创建文件)     操作:阻止
进程路径:C:\Documents and Settings\chen\桌面\我的照片\我的照片.exe
文件路径:C:\test.bat
2011-03-24 19:20:55        文件保护(创建文件)     操作:阻止
进程路径:C:\Documents and Settings\chen\桌面\我的照片\我的照片.exe
文件路径:C:\WINDOWS\systemdebug.exe

ppy0606

2011-3-24 19:24:36    创建文件    阻止
进程: d:\我的文档\viurs test\我的照片\我的照片.exe
目标: C:\WINDOWS\system32\lqcyc52.cyc
规则: [应用程序组]cx自用程序(陌生程序 自写规则) -> [文件组]文件保护 -> [文件]c:\windows\system32\*

c287432622

病毒分析

1.该样本运行后，获取系统路径。
2.释放动态链接库lqcyc52.cyc(随机命名)、可执行文件taskngr.exe到%SystemRoot%\system32文件夹下。
3.利用模拟键盘动作在运行栏输入"taskngr" lqcyc52.cyc，用于加载动态链接库lqcyc52.cyc。
4.加载成功动态链接库lqcyc52.cyc之后，删除taskngr.exe文件。
5.释放可执行文件systemdebug.exe到%SystemRoot%文件夹下，并运行该可执行文件。
6.在临时文件夹下创建批处理文件test.bat，并运行该批处理文件用以删除病毒源文件。
7.动态链接库lqcyc52.cyc被加载后，删除%SystemRoot%\system32\dllcache\usp10.dll。
8.重命名系统文件%SystemRoot%\system32\usp10.dll为cybkus10.dll，将lqcyc52.cyc文件更名为usp10.dll。
9.查询以下注册表项，用于获取杀软路径：
HKEY_LOCAL_MACHINE\Software\360Safe\menuext\LiveUpdate360
名称：Application
10.成功获取路径之后，复制被替换的系统文件usp10.dll到杀软目录下。
11.判断自身所加载的进程，若为杀软相关进程则结束自身。
12.Systemdebug.exe运行后，连接黑客指定网址，下载大量病毒到本地临时文件夹下，并运行。

病毒创建文件：

%SystemRoot%\system32\lqcyc52.cyc(随机命名)
%SystemRoot%\system32\taskngr.exe
%SystemRoot%\system32\cybkus10.dll

病毒删除文件：

%SystemRoot%\system32\taskngr.exe
%SystemRoot%\system32\dllcache\usp10.dll






http://bbs.micropoint.com.cn/showthread.asp?tid=78170&fpage=1

星晨

BitDefender 我的照片.exe Trojan.Generic.56220

生命在于运动

毒霸查杀

瓜皮猫

eset  kill
C:\Users\微亿毫\Desktop\我的照片.rar > RAR > 我的照片.exe - Win32/Kryptik.KGN 特洛伊木马 的变种