卡饭论坛's Archiver



九尾野狐 发表于 2008-7-3 16:37

REAL下载者Trojan.DownLoader.22289

病毒名称:          Trojan.DownLoader.22289(DrWeb)
病毒大小:          9.50 KB (9,728 字节)
MD5码:             FEFEC24CF9C0E4D1E26498A09D7ED159
病毒类型:          下载者
主要传播方式:    网络
测试平台:          WinXP SP3系统 (默认shell为bblean)   EQSecurity(HIPS)    实机
危害程度:          高
VT扫描链接:    [url]http://www.virustotal.com/zh-cn/analisis/5f2521602b9cfe4c8350797ea3a71a5d[/url]


行为分析

运行后首先会删除以下注册表[quote]
2008-07-03 15:38:17    注册表保护(删除注册表)   
进程路径:F:\Once\rm.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
注册表名称:JavaView[/quote]

然后生成文件[quote]
2008-07-03 15:38:17    文件保护(创建文件)  
进程路径:F:\Once\rm.exe
文件路径:C:\windows\AppPatch\DesktopWin.dll[/quote]


创建注册表  实现启动EXPLORER自动加载病毒组件[quote]
2008-07-03 15:38:17    注册表保护(创建注册表值)  
进程路径:F:\Once\rm.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
注册表名称:DesktopWin

2008-07-03 15:43:32    注册表保护(修改注册表内容)   
进程路径:C:\windows\system32\rundll32.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG
注册表名称:Seed[/quote]


以命令行调用rundll32[quote]
2008-07-03 15:38:23    应用程序保护(运行应用程序)   
进程路径:F:\Once\rm.exe
文件路径:C:\windows\system32\rundll32.exe
命令行:"C:\windows\AppPatch\DesktopWin.dll",UIMessage[/quote]


rundll32创建文件[quote]
2008-07-03 15:41:38    文件保护(创建文件)     
进程路径:C:\windows\system32\rundll32.exe
文件路径:C:\windows\AppPatch\AclLayer.dll[/quote]


最后创建自我删除bat[quote]
2008-07-03 15:38:23    文件保护(创建文件)   
进程路径:F:\Once\rm.exe
文件路径:C:\windows\system32\unxxx.bat
bat内容
:pp
del "F:\Once\rm.exe"
if exist "F:\Once\rm.exe" goto pp
del "C:\windows\system32\unxxx.bat"
[/quote]



联网行为[quote]
表现为利用real漏洞自动下载   hXXp://mx.content-type.cn/day.js[/quote]





[b]危害行为[/b]
[quote]
利用rmoc3260.dll 6.0.10.45溢出漏洞(受影响版本:RealPlayer 11)联网下载病毒  并注册病毒文件自动加载到explorer中实现自启动   [/quote]



[b]病毒关键行为[/b]
[color=#0000FF]创建文件
C:\windows\AppPatch\DesktopWin.dll

创建注册表
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
注册表名称:DesktopWin

以命令行调用rundll32.exe
2008-07-03 15:38:23    应用程序保护(运行应用程序)   
进程路径:F:\Once\rm.exe
文件路径:C:\windows\system32\rundll32.exe
命令行:"C:\windows\AppPatch\DesktopWin.dll",UIMessage[/color]



[b]防范对策和规则:[/b]

阻止在windows\AppPatch\目录下创建dll文件

阻止创建注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad

限制以命令行调用rundll32.exe

阻止调用COM对象   clsid:{2F542A2E-EDC9-4BF7-8CB1-87C9919F7F93}

zwl2828 发表于 2008-7-3 17:29

这个就是那个DLL木马,版主发过了

yeow5243 发表于 2008-7-3 18:56

TR/Crypt.XDR.Gen 小红伞

页: [1]

Powered by Discuz! Archiver 6.1.0  © 2001-2007 Comsenz Inc.