VBS的脚本木马
病毒名称:VBS/Autorun.worm.ay (McAfee)病毒大小:32.8 KB
病毒类型:vbs腳本 U盤病毒
传播方式:U盤
MD5:93087CCA89D92210BF6A014DC53629C9
测试平台:XP SP3
测试工具(hips):EQSandbox
危害程度:中
病毒分析:
1.感染全部的 .html .htm .asp .hta .vbs
2.創建自身到 %windir% 和 %windir%\system32 下面
C:\WINDOWS\Roger.vbs
C:\WINDOWS\system32\Roger.vbs
Roger 是 當前用戶名稱
3.創建 C:\WINDOWS\system32\Roger.ini
內容紀錄
[quote]OK
2008/6/27
Order:InfectFiles@603
[/quote]
4.U盤病毒行為
[quote]根目錄創建 Roger.vbs 和 autorun.inf
2008-06-27 09:52:11 修改登錄檔內容 操作:使用沙箱操作
程序路徑:C:\WINDOWS\System32\WScript.exe
登錄檔路徑:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer
登錄檔名稱:NoDriveTypeAutoRun
觸犯規則:應用程序規則->Sandbox->%windir%\system32\wscript.exe[/quote]
5.加載驅動
[quote]2008-06-27 09:43:10 載入驅動程序 操作:使用沙箱操作
程序路徑:C:\WINDOWS\System32\WScript.exe
裝置名稱:C:\WINDOWS\system32\drivers\Fastfat.sys
觸犯規則:應用程序規則->Sandbox->%windir%\system32\wscript.exe
[/quote]
6.修改自啟動項
[quote]2008-06-27 09:52:10 修改登錄檔內容 操作:使用沙箱操作
程序路徑:C:\WINDOWS\System32\WScript.exe
登錄檔路徑:HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows
登錄檔名稱:Load
更改後:C:\WINDOWS\system32\Roger.vbs
觸犯規則:應用程序規則->Sandbox->%windir%\system32\wscript.exe[/quote]
7.修改文件關聯
[quote]2008-06-27 09:52:10 修改登錄檔內容 操作:使用沙箱操作
程序路徑:C:\WINDOWS\System32\WScript.exe
登錄檔路徑:HKEY_CLASSES_ROOT\txtfile\shell\open\command
登錄檔名稱:[Default]
觸犯規則:應用程序規則->Sandbox->%windir%\system32\wscript.exe
2008-06-27 09:52:11 修改登錄檔內容 操作:使用沙箱操作
程序路徑:C:\WINDOWS\System32\WScript.exe
登錄檔路徑:HKEY_CLASSES_ROOT\chm.file\shell\open\command
登錄檔名稱:[Default]
觸犯規則:應用程序規則->Sandbox->%windir%\system32\wscript.exe
2008-06-27 09:52:11 修改登錄檔內容 操作:使用沙箱操作
程序路徑:C:\WINDOWS\System32\WScript.exe
登錄檔路徑:HKEY_CLASSES_ROOT\hlpfile\shell\open\command
登錄檔名稱:[Default]
觸犯規則:應用程序規則->Sandbox->%windir%\system32\wscript.exe
[/quote]
8.新建文件關聯
[quote]2008-06-27 09:52:11 建立登錄檔值 操作:使用沙箱操作
程序路徑:C:\WINDOWS\System32\WScript.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Classes\regfile\shell\open\command
登錄檔名稱:[Key]
觸犯規則:應用程序規則->Sandbox->%windir%\system32\wscript.exe
[/quote]
9.隱藏文件
[quote]2008-06-27 09:52:11 修改登錄檔內容 操作:使用沙箱操作
程序路徑:C:\WINDOWS\System32\WScript.exe
登錄檔路徑:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
登錄檔名稱:ShowSuperHidden
觸犯規則:應用程序規則->Sandbox->%windir%\system32\wscript.exe
2008-06-27 09:52:11 建立登錄檔值 操作:使用沙箱操作
程序路徑:C:\WINDOWS\System32\WScript.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
登錄檔名稱:[Key]
觸犯規則:應用程序規則->Sandbox->%windir%\system32\wscript.exe
[/quote]
10.調用的COM對象
[quote]2008-06-27 09:53:26 应用程序保护(远程调用COM对象) 操作:阻止
进程路径:C:\WINDOWS\System32\WScript.exe
{8BC3F05E-D86B-11D0-A075-00C04FB68820}
[/quote]
防范对策和规则:
1.防禦感染,FD 最好開 *
2.wscript.exe 的規則必須嚴格,也就是 不要 記入 應用程序規則,觸犯時,
按阻止或允許,但不要記入規則!
[[i] 本帖最后由 a256886572008 于 2008-7-2 08:17 编辑 [/i]] 密码是virus 原来只一个VBS杀伤力也这么大 vbs是明碼 除非有加密 No malicious software was found in the attached file. 测试中,
有一处不同,一处需要修正:
1.[color=red][b]尚没发现加载驱动;(?)[/b][/color]
2.在windows/和windows/system32/生成[color=blue][b]【用户名】.vbs[/b][/color]
[attach]300903[/attach]
[quote]1.系统防护
%SystemRoot% (ask )
...\config (prevent)
...\*.ini (prevent)
...\repair (prevent)
2.如发现有上述创建驱动、overwrite等危险行为,应及时阻止,结束进程[/quote]
[[i] 本帖最后由 pils 于 2008-7-2 15:52 编辑 [/i]] 3.創建 C:\WINDOWS\system32\Roger.ini
又是创建一个.ini文件,上次手工杀毒的时候错干掉了一个这样的文件进不了系统 结果重装[:26:] 测试平台:XP SP3
测试工具(hips):EQSandbox
请问如果没有hips,应该如何防范与查杀??
回复 8楼 邀请 的帖子
本区【行为分析】【病毒分析】原则上要求用hips测试。无hips,看病毒行为,可以做出应有的防范。
重者恒重。
页:
[1]