病毒一枚～

显示全部楼层 · 发表于 2011-4-29 11:33:57

回复 30楼 zhousulin5 的帖子

禁止运行样本!可以防止吧...

若误点击,只能清理垃圾以及创建的文件!修复注册表...!

显示全部楼层 · 发表于 2011-4-29 11:45:08

回复 30楼 zhousulin5 的帖子

我常常看到正常程序，加载 .avi 库文件

显示全部楼层 · 发表于 2011-4-29 11:48:03

本帖最后由 zhousulin5 于 2011-4-29 11:58 编辑

禁止运行样本当然就什么都不会发生了。
看我贴的日志，并没有禁止运行样本，本来的样本是被禁止的，但我为了让它运行减少了它名字中的空格（其实不是空格是tab）。我只是禁止了regsvr32去加载病毒释放到temp目录下的那个avi动态库。结果，只发现在进程中剩了一个样本的进程，并且这个进程也很快就自己结束了，其他什么都没发现，重启系统后用MD检查自启动项也没有多出来什么。又观察了一次，病毒在试图让regsvr32加载那个avi之后就删掉了那个avi。

显示全部楼层 · 发表于 2011-4-29 11:54:57

本帖最后由 zhousulin5 于 2011-4-29 12:12 编辑

回复 32楼 a256886572008 的帖子

哦。多谢。原来这就是原因。
但是我从来没有看到过，所以我不明白这个原因。我目前看到过的库文件后缀除了dll外，还有ime\ax\acm\cpl\drv\ocx\lng\dic。
确实，后缀太灵活，什么后缀都可能被当作是库文件的后缀，但那是软件编写者的问题。
也许我得换个说法，我阻止一切程序加载avi为动态库，应该不会造成系统不能正常使用这么严重的后果，最多只是个别正常程序的功能缺失，我猜测这些程序都是用来播放媒体文件的吧。

显示全部楼层 · 发表于 2011-4-29 12:02:31

回复 29楼 liulangzhecgr 的帖子

你按我的方法阻止regsvr32加载那个avi动态库，再看看结果如何。

显示全部楼层 · 发表于 2011-4-29 12:10:00

回复 35楼 zhousulin5 的帖子

我什么防御都没有打开后运行病毒的啊!头两次用EQ之外!
拿XT只看见网络连接部分外,没有发现异常!

用快照来找几个文件外,也没有找到什么! AVI动态库?! 尚未见着!

显示全部楼层 · 发表于 2011-4-29 12:16:25

本帖最后由 zhousulin5 于 2011-5-2 15:03 编辑

回复 36楼 liulangzhecgr 的帖子

那个avi文件可能是被病毒自己删掉了吧。我现在推测病毒在使regsvr32加载它的库之后，也结束了它自己的进程，剩下的事情就是由regsvr32去做的。
你可以看看regsvr32的模块有没有多出来什么，一般情况调用regsvr32是要增加或修改服务的，所以你也应该再看看有没有多出来陌生的服务。

根据39楼链接里的日志，后面还有一个样本调用regsvr32注册a.avi为服务的步骤。(这里是我误读了，regsvr32 /s并不是注册为服务，只是注册为knowndlls)
在我看来，regsvr32加载avi动态库，以及注册avi为knowndlls，都是不正常的现象。动态库被利用来控制regsvr32去做病毒想做的事，其中一件事就是修改winlogon notify里的cscdll的值（根据我测试的结果，病毒是利用winologon改注册表用它自己的文件替换系统的cscdll.dll），以达到自启动的目的，结合那张用xuetr看到的cscdll没有路径的现象，我还猜病毒注册或修改了驱动，不过没有从相关日志中看到此步骤。
大多数时候我们规则允许的行为是不会记录日志的，我估计这个样本是研究过很多HIPS规则的。

显示全部楼层 · 发表于 2011-4-29 12:29:29

Installation Report: Win32 Cabinet Self-Extractor
Generated by InCtrl5, version 1.0.0.0
Install program: E:\DownLoads\infected\禁片-罗曼史[中文字幕].rmvb　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　.exe
4-29-2011 9:35 AM

------------------------------------------------------------
Registry
********

Keys ignored: 0
---------------
* (none)

Keys added: 1
-------------
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\FDC\GENERIC_FLOPPY_DRIVE\5&345fbd89&0&0\Capabilities

Keys deleted: 1
---------------
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Enum\FDC\GENERIC_FLOPPY_DRIVE\5&345fbd89&0&0\DeviceDe

Values added: 1
---------------
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache "E:\DownLoads\infected\禁片-罗曼史[中文字幕].rmvb　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　　.exe"
Type: REG_SZ
Data: Win32 Cabinet Self-Extractor

Values changed: 6
-----------------
HKEY_CURRENT_USER\SessionInformation "ProgramCount"
Old type: REG_DWORD
New type: REG_DWORD
Old data: 03, 00, 00, 00
New data: 02, 00, 00, 00
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\Bags\170\Shell "WinPos1024x768(1).bottom"
Old type: REG_DWORD
New type: REG_DWORD
Old data: 75, 02, 00, 00
New data: F3, 02, 00, 00
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\Bags\170\Shell "WinPos1024x768(1).left"
Old type: REG_DWORD
New type: REG_DWORD
Old data: 16, 00, 00, 00
New data: DC, 00, 00, 00
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\Bags\170\Shell "WinPos1024x768(1).right"
Old type: REG_DWORD
New type: REG_DWORD
Old data: 36, 03, 00, 00
New data: FC, 03, 00, 00
HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\Bags\170\Shell "WinPos1024x768(1).top"
Old type: REG_DWORD
New type: REG_DWORD
Old data: 1D, 00, 00, 00
New data: 8E, 01, 00, 00
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG "Seed"
Old type: REG_BINARY
New type: REG_BINARY
Old data: 9D, 84, 36, 59, 62, DC, 8D, 41, 3B, 40, 70, EE, 25, 0E, 80, C7, C8, CD, CB, B9, 51, A4, BD, 86, 8F, 15, 5E, 25, 18, 05, 14, 6E, 2A, 9D, A0, E9, 78, 96, 13, 8D, 91, AE, 5B, 23, 04, FE, 72, CE, 0F, 3C, D9, F9, C6, 5B, 5B, AA, 5F, 6E, 87, 24, B6, 7F, A0, 59, 26, 03, AB, 17, B8, AB, 89, 1E, 7A, 67, BA, 06, 1C, 0C, 86, 53
New data: F3, 38, 29, 49, 2F, 64, FA, 89, 6F, C0, B6, AB, 0B, E4, A5, 62, 22, DD, C7, C7, A9, 1A, 96, 18, AB, 6C, 4C, 4E, FC, 1A, 16, 50, 8A, C5, 41, EF, 83, 77, 76, 12, D9, C6, 6D, 88, C5, DE, 06, 02, A1, 80, 27, BD, 67, E7, 56, D0, 0A, CA, 7F, D3, 9F, AF, 14, 46, 12, 22, 8B, 9F, F7, 9D, 7B, A1, F6, DD, 98, 6E, 4F, EF, 8D, FA
------------------------------------------------------------
Disk contents
*************

Drives tracked: 4
-----------------
* c:\
* d:\
* e:\
* f:\

Files changed: 2
----------------
c:\Documents and Settings\Administrator\ntuser.dat.LOG
Old date: 4-29-2011 9:34 AM
New date: 4-29-2011 9:35 AM
Old size: 1,024 bytes
New size: 1,024 bytes
c:\WINDOWS\system32\config\software.LOG
Old date: 4-29-2011 9:33 AM
New date: 4-29-2011 9:35 AM
Old size: 1,024 bytes
New size: 1,024 bytes
------------------------------------------------------------
INI file
********

Ini files tracked: 3
--------------------
* C:\boot.ini
* c:\windows\control.ini
* c:\windows\system.ini
------------------------------------------------------------
Text file
*********

Text files tracked: 2
---------------------
* c:\windows\system32\autoexec.nt
* c:\windows\system32\config.nt
------------------------------------------------------------
InCtrl5, Copyright ?2000 by Ziff Davis Media, Inc.
Written by Neil J. Rubenking
First published in PC Magazine, December 5, 2000.

显示全部楼层 · 发表于 2011-4-29 12:38:07

本帖最后由 yjwfdc 于 2011-4-29 12:38 编辑

主要行为，注入winlogon.exe,
winlogon.exe创建一个文件和注册表，
winlogon.exe重启系统

winlogon.exe创建的文件是改了文件名为.inf的pe文件,可能用于管理网络的微软文件，此文件云扫描不报毒。

更祥细的日志和文件。
http://bbs.kafan.cn/forum.php?mo ... &extra=#pid18907998

显示全部楼层 · 发表于 2011-4-29 13:04:02

本帖最后由 liulangzhecgr 于 2011-4-29 13:06 编辑

[病毒样本] 病毒一枚～

评分

本帖子中包含更多资源

浏览过的版块