dll 病毒
病毒名称:未知病毒大小:9.50 KB
病毒类型:未知
传播方式:未知
MD5:FEFEC24CF9C0E4D1E26498A09D7ED159
测试平台:XP SP3
测试工具(hips):EQSandbox
危害程度:中
病毒分析:
1.創建 文件
[quote]2008-07-02 14:21:33 文件保护(创建文件) 操作:使用隔离区操作
进程路径:D:\桌面\virus\rm\rm.exe
文件路径:C:\WINDOWS\AppPatch\DesktopWin.dll
[/quote]
2.刪除註冊表
[quote]2008-07-02 14:21:33 注册表保护(删除注册表) 操作:使用隔离区操作
进程路径:D:\桌面\virus\rm\rm.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
注册表名称:JavaView
[/quote]
3.創建註冊表
[quote]2008-07-02 14:21:33 注册表保护(创建注册表值) 操作:使用隔离区操作
进程路径:D:\桌面\virus\rm\rm.exe
注册表路径:HKEY_CLASSES_ROOT\CLSID\{DA191DE0-AA86-4ED0-4B87-292A3D48BE99}\InprocServer32
注册表名称:[Key]
2008-07-02 14:21:33 注册表保护(创建注册表值) 操作:使用隔离区操作
进程路径:D:\桌面\virus\rm\rm.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
注册表名称:DesktopWin
[/quote]
4.運行rundll32.exe
[quote]2008-07-02 14:21:34 应用程序保护(运行应用程序) 操作:使用隔离区操作
进程路径:D:\桌面\virus\rm\rm.exe
文件路径:C:\WINDOWS\system32\rundll32.exe
命令行:"C:\WINDOWS\AppPatch\DesktopWin.dll",UIMessage
[/quote]
5.創建 .bat 刪除自身
[quote]2008-07-02 14:21:35 文件保护(创建文件) 操作:使用隔离区操作
进程路径:D:\桌面\virus\rm\rm.exe
文件路径:C:\WINDOWS\system32\unxxx.bat
2008-07-02 14:21:35 应用程序保护(运行应用程序) 操作:使用隔离区操作
进程路径:D:\桌面\virus\rm\rm.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c "C:\WINDOWS\system32\unxxx.bat"
2008-07-02 14:21:37 文件保护(删除文件) 操作:使用隔离区操作
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:C:\EQSandBox\C\WINDOWS\system32\unxxx.bat
[/quote]
防范对策和规则:
1.rundll32.exe 被運行時,注意 命令行寫什麼? 【a2测试】标签......
[:01:]
贴一个图:
[attach]301056[/attach]
[attach]301052[/attach][attach]301053[/attach][attach]301054[/attach][attach]301055[/attach]
[quote]1.%SystemRoot%依旧是防范的重点,dll、sys、scr、bat等文件的创建,要格外注意。
2.删除自身,是木马病毒惯用的伎俩。
3.注意启动进程rundll32.exe、cmd.exe、conime.exe[/quote]
[[i] 本帖最后由 pils 于 2008-7-2 15:51 编辑 [/i]] conime.exe是输入法编辑器相关程序,用于“命令提示符”的中文输入法调用。
调用conime.exe 是否使用的命令行就看不到?
还有病毒运行conime.exe后怎么没任何操作了
不是说这个病毒
[[i] 本帖最后由 sanhu35 于 2008-7-2 15:13 编辑 [/i]] 000020A8 004020A8 0 Software\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
000020FC 004020FC 0 DesktopWin
00002108 00402108 0 ThreadingModel
00002118 00402118 0 CLSID\%s\InprocServer32
00002130 00402130 0 {DA191DE0-AA86-4ED0-4B87-292A3D48BE99}
00002158 00402158 0 Apartment
00002169 00402169 0 del "%s"
00002173 00402173 0 if exist "%s" goto pp
0000218A 0040218A 0 del "%s"
00002198 00402198 0 %s\%s
000021A0 004021A0 0 unxxx.bat
000021AC 004021AC 0 rundll32 "%s",UIMessage
000021C4 004021C4 0 JavaView
000021D0 004021D0 0 \DesktopWin.dll
000021E0 004021E0 0 \AppPatch
00003A94 00403A94 0 \AppPatch\AclLayer.dll
00003AAC 00403AAC 0 \rundll32.exe 在CA【跟踪&回滚模式】下,这两个dll还不容易删除。
[:01:]
Kaspersky Internet Security 2009
2008/7/2 15:36:43 Placed in group High Restricted2008/7/2 15:36:43 Delete hklm\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad Denied: KLSystemData/KLStartupRegKeys/ShellServiceObjectDelayLoad
2008/7/2 15:36:43 Create C:\Windows\AppPatch\DesktopWin.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2008/7/2 15:36:47 Process start c:\windows\system32\rundll32.exe Denied: KLPrivileges/KLPermissionAppAccess/KLPermissionProcManage/KLStartProc
2008/7/2 15:36:48 Access to another process memory c:\windows\system32\rundll32.exe Denied: KLPrivileges/KLPermissionAppAccess/KLPermissionProcEmbed/KLReadProcMem
页:
[1]