卡饭论坛's Archiver



九尾野狐 发表于 2008-7-2 21:07

敲诈者病毒Virus.Win32.Gpcode.ak

病毒名称:          Virus.Win32.Gpcode.ak(AVK)
病毒大小:          7.84 KB (8,030 字节)
MD5码:            7CD8E2FC5FE2DC351F24417CC1D23AFA
病毒类型:          恶意加密硬盘数据
主要传播方式:    N/A
测试平台:          WinXP SP3系统    EQSecurity(HIPS)    实机
危害程度:          高


[b]行为分析[/b]

运行后一直拦截新建文件    拦截了一会就终止进程了    无过多行为测试  
[attach]301364[/attach]

虽然在我电脑上成功生成了._CRYPT的文件  但是原文件却并未被删除或修改  也许是因为我没explorer的原因吧
[attach]301365[/attach]
[attach]301366[/attach]

[b]危害行为
[/b][quote]
病毒使用1024位密钥RSA加密算法,加密不同的扩展名的文件(如.doc,txt,.pdf,.xls,.jpg,.png,.cpp,.h等)当用户感染了病毒后,它就会把上述扩展名的文件改成._CRYPT,并且在同一文件夹内放置一个text文件!_READ_ME_!.txt,告诉受害者要解密这些文件必须付钱
[/quote]




[b]病毒关键行为:[/b]

[color=#ff0000]加密各种正常文件[/color]



[b]防范对策和规则:[/b]

添加全盘阻止建立后缀为._CRYPT文件规则

用FD保护重要文件不被删除或修改

[[i] 本帖最后由 没注册 于 2008-7-2 21:09 编辑 [/i]]

hzc43 发表于 2008-7-2 21:11

强烈要求大小姐在虚拟机下换回explorer[:29:]

九尾野狐 发表于 2008-7-2 21:12

我虚拟机也没有explorer的……

zwl2828 发表于 2008-7-2 21:15

这个样本居然被你找到了!

systthird 发表于 2008-7-2 21:40

晕了 这个是创建新文件,再删除原文件吗

不然日志怎么不是修改

spiha 发表于 2008-7-2 23:05

*** 作者被禁止或删除 内容自动屏蔽 ***

Effenberg 发表于 2008-7-3 09:25

这个就是上次TE说的那个样本?

a256886572008 发表于 2008-7-3 10:50

[quote]2006-07-03 10:46:26        文件保护(创建文件)     操作:使用隔离区操作
进程路径:D:\桌面\virus\敲詐者mp14\malware.exe
文件路径:C:\Documents and Settings\All Users\Documents\My Pictures\範例圖片\Blue hills.jpg._CRYPT

2006-07-03 10:46:26        文件保护(创建文件)     操作:使用隔离区操作
进程路径:D:\桌面\virus\敲詐者mp14\malware.exe
文件路径:C:\EQSandBox\C\Documents and Settings\All Users\Documents\My Pictures\範例圖片\Blue hills.jpg._CRYPT

[color=Red]2006-07-03 10:46:33        文件保护(删除文件)     操作:阻止
进程路径:D:\桌面\virus\敲詐者mp14\malware.exe
文件路径:C:\Documents and Settings\All Users\Documents\My Pictures\範例圖片\Blue hills.jpg[/color]
[/quote]

他是先創建  ._CRYPT,再刪除 原文件

[[i] 本帖最后由 a256886572008 于 2008-7-3 10:52 编辑 [/i]]

冷冷 发表于 2008-7-3 11:19

第一步应该是这个
Application Data\Microsoft\Crypto\RSA\ 下创建一个东东

a256886572008 发表于 2008-7-3 12:05

1.Application Data\Microsoft\Crypto\RSA\ 下创建一个东东

2.8樓

3.創建 .vbs ,並運行 wscript.exe

.vbs 的內容
[quote]set f=wscript.createobject("scripting.filesystemobject")
on error resume next
do while f.deletefile("D:\malware.exe")
loop
do while true msgbox "Your files are encrypted with RSA-1024 algorithm.  To recovery your files you need to buy our decryptor.  To buy decrypting tool contact us at: [email]decrypt482@yahoo.com[/email]",4144," ATTENTION !"
loop
[/quote]

4.SBIE 的 一個程序  訪問網路,不知是否為 管道控制?

[attach]301745[/attach]

5.

[attach]301757[/attach]

[[i] 本帖最后由 a256886572008 于 2008-7-3 12:31 编辑 [/i]]

systthird 发表于 2008-7-3 14:11

回复 10楼 a256886572008 的帖子

看不懂你的组合 EQ和SB两个沙盘,一起用吗

jony327 发表于 2008-7-3 22:41

这种毒,除了AD,FD只有全局保护了。。。[:05:]

hjw951 发表于 2008-7-5 00:16

很牛逼的病毒哦~~~
卡巴实验室正在召集人才就是解密这个吧?

csliss 发表于 2008-7-6 17:12

有修復工具嗎?

思亭 发表于 2008-7-6 22:27

不让创建*._CRYPT这个文件,就不会删除文档吗?

yjwfdc 发表于 2008-7-7 15:55

[color=blue]全部行为[/color]

2008-07-06 20:21:00    应用程序保护已经开启.


2008-07-06 20:21:00    注册表保护已经开启.


2008-07-06 20:21:00    文件保护已经开启.


2008-07-06 20:32:07    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:D:\2\virus malware\malware.exe
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:32:07    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\WINDOWS\system32\rsaenh.dll
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:32:07    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\WINDOWS\system32\IMM32.DLL
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:32:07    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\WINDOWS\system32\LPK.DLL
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:32:07    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\WINDOWS\system32\USP10.dll
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:32:07    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\WINDOWS\system32\crypt32.dll
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:32:08    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\WINDOWS\system32\rsaenh.dll
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:32:08    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\WINDOWS\system32\rsaenh.dll
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:32:21    修改文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\WINDOWS\Debug\UserMode\userenv.log
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:33:12    修改文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA\S-1-5-21-2000478354-842925246-

1202660629-500
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:33:12    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA\S-1-5-21-2000478354-842925246-

1202660629-500\e3777ed01e1beb7d3ff3436743bebc03_7ba93481-29fe-4841-aaca-b75d09b0c8e4
触发规则:应用程序规则->-----低------>d:\2\*


触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:33:25    修改文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA\S-1-5-21-2000478354-842925246-

1202660629-500
触发规则:应用程序规则->-----低------>d:\2\*


[color=#ff0000]2008-07-06 20:33:27    创建文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA\S-1-5-21-2000478354-842925246-

1202660629-500\e3777ed01e1beb7d3ff3436743bebc03_7ba93481-29fe-4841-aaca-b75d09b0c8e4
触发规则:应用程序规则->-----低------>d:\2\*[/color]



2008-07-06 20:36:06    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:D:\QQ2007\NetRepair.xml
触发规则:应用程序规则->-----低------>d:\2\*


[color=#ff0000]2008-07-06 20:36:06    创建文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:D:\QQ2007\NetRepair.xml._CRYPT
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:36:06    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:D:\QQ2007\NetRepair.xml
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:36:07    删除文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:D:\QQ2007\NetRepair.xml
触发规则:应用程序规则->-----低------>d:\2\*[/color]

2008-07-06 20:36:07    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:D:\QQ2007\NetRepair.xml
触发规则:应用程序规则->-----低------>d:\2\*



2008-07-06 20:41:12    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\WINDOWS\system32\verclsid.exe.Manifest
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:41:12    运行应用程序      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\WINDOWS\system32\verclsid.exe
命令行:/C {00060006-0006-0006-0006-00060006BB15} /I {00000000-0000-0000-C000-000000000046} /X 0x401
触发规则:应用程序规则->----------低--------->d:\2\*


[color=#ff0000]2008-07-06 20:41:12    修改注册表内容      操作:允许
进程路径:D:\2\virus malware\malware.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Shell Extensions\Cached
注册表名称:{00060006-0006-0006-0006-00060006BB15} {00000000-0000-0000-C000-000000000046} 0x401
触发规则:应用程序规则->----低------>d:\2\*[/color]

2008-07-06 20:41:12    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\WINDOWS\system32\CLBCATQ.DLL
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:41:12    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\WINDOWS\system32\COMRes.dll
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:41:12    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\WINDOWS\Registration\R000000000008.clb
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:41:12    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\WINDOWS\system32\urlmon.dll
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:41:12    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\WINDOWS\system32\urlmon.dll
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:41:12    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\WINDOWS\system32\urlmon.dll
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:41:12    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\WINDOWS\system32\urlmon.dll
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:41:12    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\WINDOWS\system32\urlmon.dll.123.Manifest
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:41:12    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\WINDOWS\system32\urlmon.dll.123.Config
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:41:12    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03
触发规则:应用程序规则->-----低------>d:\2\*



2008-07-06 20:41:12    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\WINDOWS\System32\WScript.exe
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:41:12    创建注册表值      操作:允许
进程路径:D:\2\virus malware\malware.exe
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\MUICache
注册表名称:C:\WINDOWS\System32\WScript.exe
触发规则:应用程序规则->----低------>d:\2\*


2008-07-06 20:41:12    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\WINDOWS\System32\WScript.exe
触发规则:应用程序规则->-----低------>d:\2\*



2008-07-06 20:41:12    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\Program Files\360safe\Antispy.dll
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:41:12    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:D:\2\virus malware\extdb\extdbup.ini
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:41:12    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\Program Files\360safe\libwhite.dat
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:41:12    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\Program Files\360safe\libspyerp.dat
触发规则:应用程序规则->-----低------>d:\2\*



2008-07-06 20:41:12    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:D:\2\virus malware\malware.vbs
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:41:12    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\Program Files\360safe\safeext.dll
触发规则:应用程序规则->-----低------>d:\2\*



2008-07-06 20:41:12    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:41:12    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\Documents and Settings\All Users\「开始」菜单\程序\启动\
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:41:12    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:D:\2\virus malware\malware.vbs
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:41:12    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\WINDOWS\System32\WScript.exe
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:41:12    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\WINDOWS\system32\Apphelp.dll
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:41:12    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\WINDOWS\system32\Apphelp.dll
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:41:12    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\WINDOWS\AppPatch\sysmain.sdb
触发规则:应用程序规则->-----低------>d:\2\*


2008-07-06 20:41:12    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\WINDOWS\AppPatch\systest.sdb
触发规则:应用程序规则->-----低------>d:\2\*



2008-07-06 20:41:13    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\WINDOWS\System32\wscript.exe
触发规则:应用程序规则->-----低------>d:\2\*



2008-07-06 20:41:13    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\WINDOWS\System32\WScript.exe.Manifest
触发规则:应用程序规则->-----低------>d:\2\*


[color=#ff0000]2008-07-06 20:41:13    运行应用程序      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:C:\WINDOWS\System32\WScript.exe
命令行:"D:\2\virus malware\malware.vbs"
触发规则:应用程序规则->----------低--------->d:\2\*[/color]
2008-07-06 20:41:13    读取文件      操作:允许
进程路径:D:\2\virus malware\malware.exe
文件路径:D:\2\virus malware\malware.exe
触发规则:应用程序规则->-----低------>d:\2\*

[color=red]防护方法,[/color]

[color=red]陷井规则[/color]
1.创建,[color=#ff0000][color=black]修改 C:\Documents and Settings\Administrator\Application Data\Microsoft\Crypto\RSA[/color]  阻止并且结束进程[/color]
2。创建*._CRYPT 文件 [color=#ff0000]阻止并且结束进程[/color]
[color=#ff0000][/color]
[color=#ff0000]防守规则[/color]
保护全部重要资料。

[[i] 本帖最后由 yjwfdc 于 2008-7-7 15:57 编辑 [/i]]

页: [1]

Powered by Discuz! Archiver 6.1.0  © 2001-2007 Comsenz Inc.