又一个“熊猫烧香”的出现！“克邻大盗”（PE_CORELINK.C-O）(请上传样本)

ooo-ppp

转载于   http://www.zhulinfeng.com/bbs/dispbbs.asp?boardID=5&ID=133&page=1

      今日登陆wangsea空间一个网友留言如下:  不知为何,Wsyscheck没有强删文件的功能。还有希望能去掉不实用的功能。有工具也不是万能的，最近的克邻大盗/马吉斯（叫法不一样），用很多工具都无能为力。病毒加载驱动，修改SSDT，用rootkit技术隐藏进程、文件、服务、注册表、阻止另外加载驱动。很多工具连运行都是问题.Wsyscheck/syscheck2启动不需驱动是优点，但隐藏的东西皆不能发现，且SSDT功能无用，这功能要加驱动。凭心而论syscheck2实用性已经超过icesword了。希望w老大能在技术上有所突破，加强检测rootkit，连病毒文件、驱动之类都看不到何来安全之说。工具要野蛮一些，希望添加强删功能，文件体积继续保持。

wangsea答复:   

       syscheck不加载驱动可以恢复SSdt(限win2003 sp2以下版本,可恢复xp sp2及其下版本)
Wsyscheck的安全环境如驱动加载使用驱动恢复SSDT,不加载使用Syscheck的方法恢复SSDT.
       前面说过了,无驱的检测与修复只能用在win2k3 sp1,winxp sp2及其下版本,Ms在高于这些版本的系统中不允许这么做了.(所以并不是Wsyscheck不加载驱动就无法检测ssdt)
另外,无驱的ssdt检测是无法检测修复如卡巴这样程序的SSdt的.
至于恢不恢复ssdt,要看ssdt是否被hook,没hook当然没有必要恢复.一般的小马没这技术所以也不是经常用到恢复的.
       恢复ssdt有没有用?你可以试试先不恢复卡巴的ssdt项,在windows的进程管理中结束卡巴的进程与恢复后在进程管理中结束卡巴进程做一个对比测试.


搜索了一下有信息:转自 http://article.pchome.net/content-376383.html

        又一个“熊猫烧香”的出现！“克邻大盗”（PE_CORELINK.C-O）在局域网中肆意破坏,趋势科技6月8日发布中国区中度风险病毒警报，目前有一种名为“克邻大盗”（PE_CORELINK.C-O）的恶性病毒正在互联网快速蔓延。趋势科技上海MOC监测中心已接到来自大中型企业用户的10余起求助，中毒现象主要是造成他们的网络系统瘫痪。趋势科技自5月31日接到第一个用户求助后，至今“克邻大盗”病毒以迅猛之势波及全国了近10万台电脑。趋势科技专家提醒广大电脑用户：“克邻大盗”病毒来势汹汹不可小觑，谨防又一个“熊猫烧香”的出现。 “克邻大盗”病毒主要通过U盘（或移动硬盘）、共享文件、感染可执行程序三种途径进行传播。当局域网中的一台电脑受到“克邻大盗”病毒攻击后，其邻近计算机逐渐被植入恶意木马程序，最终导致局域网中用户计算机系统全部受感染，导致局域网出现突然掉线甚至系统瘫痪。该病毒主要使用下载其他恶意病毒程序发动“ARP 欺骗”攻击，试图通过这种手段截获或篡改所在局域网络内其它计算机系统的信息.
供相应的引擎以及病毒码检测并清除此病毒感染的文件： 1、全球病毒码用户请在线更新到4.513.00以上，china pattern用户请在线更新到4.514.60以上 2、如果你遭受病毒袭击, 趋势科技专家防护建议： 针对上述病毒传播情况，趋势科技建议广大计算机用户可采取如下方法进行防范： 1、阻止U盘文件的自启动： a)使用注册表编辑器定位键值

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2

b)右键点击上述键值选择属性 c)在安全选项页中点击高级按钮，然后去勾选对话框中的继承复选框，在弹出对话框中选择移除，再点击确定关闭对话框 2、加强本机的口令设置以阻止病毒通过弱口令传播。 3、阻止如下的url的访问：

cn3721.orgrm510.comhttp://tj.imrw0rldwide.com/co.asp

4、使用Opp或者Windows的权限管理阻止如下文件的写入。 a)Windows安装目录：linkinfo.dll，winnetmanager.exe以及任意的bmp文件。 b)Drivers目录：nvmini.sys，arp8023.sys。
不知道版主能否搞到样本,这对狙剑既是一个考验又是一个机会,版主又要辛苦了,静候佳音.

狙剑作者答复:

      这种木马并没有什么特别的，关键技术就是一点，加载自己的驱动取得权限，同时禁止其它程序加载驱动取得权限，其实并没有技术含量，如果先启动狙剑，则他根本就没有启动加载的机会，只是朋友们大多是试用狙剑，对于狙剑的预防功能体会较少。
即使他先进入了系统，而由于狙剑的启动项管理是采用的HIVE文件解析来取得服务加载项，此木马的注册表隐藏不会有用的。在启动项中找到它的驱动项，删除、重启。如果无法删除，则记下文件名，用文件管理功能找到文件，破坏之，狙剑的文件管理采用的是磁盘扇区读写列出文件，破坏上面的木马应该没问题。
狙剑的后期版本会更进一步：一是全部注册项都由HIVE文件解析；二是删除启动项时也直接从HIVE文件入手绕过系统。三是完善文件管理功能，保证对文件的查找与删除不会被绕过。
      这样，就比较完善了。


       有样本的尽快发到论坛上,让网友们早做准备,迎接挑战.

[ 本帖最后由 ooo-ppp 于 2007-6-16 09:21 编辑 ]

wangjay1980

这种帖子不要发到这里

woai_jolin

我要样本

Nblock

是这支？

[ 本帖最后由 Nblock 于 2007-6-16 20:44 编辑 ]

Joker

Kaspersky Internet Security 7.0
The requested URL http://bbs.kafan.cn/attachment.php?aid=88206 is infected with Rootkit.Win32.Agent.ev virus

红心王子

KV拦截了两个
不方便传图了

scottxzt

微点提示，系统需要重起才能彻底清楚病毒！

1688388728

病毒: Rootkit.Win32.Agent.ev
文件: virus[1].rar
目录: C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\TEWQ801G
进程: GreenBrowser.exe

promised

Scan performed at: 2007-6-16 21:35:38
Scanning Log
NOD32 version 2335 (20070616) NT
Command line: C:\ABC\virus.rar
Operating memory - is OK

Date: 16.6.2007  Time: 21:35:44
Anti-Stealth technology is enabled.
Scanned disks, folders and files: C:\ABC\virus.rar
C:\ABC\virus.rar ?RAR ?RioDrvs.sys - probably unknown NewHeur_PE virus [7]
Number of scanned files: 4
Number of threats found: 1
Number of active threats: 1
Time of completion: 21:35:55 Total scanning time: 11 sec (00:00:11)

Notes:
[7] File is probably infected with an unknown virus.

沸沸

C:\Documents and Settings\Administrator\桌面\virus.rar >>RAR >>RioDrvs.sys - 未查明的 NewHeur_PE 病毒 [7]

哇，NOD32的启发发威了