卡饭论坛's Archiver



sanhu35 发表于 2008-7-4 17:10

流行的挂马病毒baidu.exe,bak.css

病毒名称:
小红伞            TR/Dldr.Agent.vcq
NOD32v2      Win32/TrojanDownloader.Agent.NZX
Rising            Win32.KillAV.abc
Kaspersky    Trojan-Downloader.Win32.Agent.vcq

传播方式:漏洞挂马

clsid :<object classid="clsid:61F5C358-60FB-4A23-A312-D2B556620F20" style='display:none' id='Silverlight'></object> 联众漏洞

多引擎扫描结果:[url=http://www.virustotal.com/zh-tw/analisis/1574daf6a4037a0b74e2eb95857921e2]http://www.virustotal.com/zh-tw/analisis/1574daf6a4037a0b74e2eb95857921e2[/url]

MD5: 5A2E98D4F51097C979836C008F593970

SHA1: 1996E31969EDEFD8FCF48C2CEF085AA5A46FE9A6

CRC32: 9FA37088

测试平台:XP SP3

测试工具:EQ

病毒操作:
此病毒操作很少
[quote]
2008-07-04 16:42:59 修改文件 操作:阻止
进程路径:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.843\Baidu.exe
文件路径:C:\WINDOWS\system32\Drivers\Beep.sys

2008-07-04 16:43:51    访问服务管理器      操作:允许
进程路径:C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\Rar$EX00.843\Baidu.exe


2008-07-04 16:43:06 删除注册表 操作:阻止
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Beep
注册表名称:[Key]

2008-07-04 16:43:36    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Beep
注册表名称:ImagePath

2008-07-04 16:43:51    创建注册表值      操作:阻止
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\NBA_SOFT
注册表名称:[Key]
[/quote]

很明显,此毒利用deep服务,首先修改deep.sys驱动
然后删除原本的deep服务 再创建新的病毒服务。创建失败后 尝试创建新的服务项
可见除了要保护sys exe dll 等这些文件外,还要保护服务 监控新的服务创建

[color=red]此病毒防范对策和规则:[/color]
*.sys阻止修改删除或 %Windir%\system32\Drivers\* .sys阻止修改删除

监控如下项 (下面是子键):
HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*  
[Key]
HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*
imagepath
HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*\Parameters
ServiceDll

[[i] 本帖最后由 sanhu35 于 2008-7-4 17:59 编辑 [/i]]

pils 发表于 2008-7-4 17:26

重者恒重。
[quote]%SystemRoot%\System32
%SystemRoot%[/quote]




beep.sys

sanhu35 发表于 2008-7-4 17:35

现在卡饭真卡 点编辑都要几分钟!

xxl 发表于 2008-7-4 18:00

PRODNAME1
PRODNAME2
访问被拒绝
找不到所请求的 URL

在尝试检索 URL 时:

[url]http://bbs.kafan.cn/attachment.php?aid=[/url]
302758&k=941283940d515fe66e1ff723d12cf43
0&t=1215165596

遇到了下列错误:

所请求的对象已被感染了下列病毒: Trojan-Downloader.Win32.Agent.vcq


如果您认为这是不正确的,请联系您的服务提供商。
生成于:
Fri Jul 04 18:00:32 2008
Kaspersky Internet Security 2009

页: [1]

Powered by Discuz! Archiver 6.1.0  © 2001-2007 Comsenz Inc.