暂且叫"仙剑"病毒的分析
暂且叫"仙剑"病毒的分析病毒名称: pal.exe (仙剑吗?)
病毒大小: 40,960 字节
MD5码: 未知
病毒类型: 未知
主要传播方式: 未知
测试平台: WinXP SP2系统 EQSecurity(HIPS)4.0 b2 414 实机
危害程度: 未知
病毒来源: [url=http://bbs.kafan.cn/viewthread.php?tid=273462&extra=page%3D1][color=#2f5fa1]http://bbs.kafan.cn/viewthread.php?tid=273462&extra=page%3D1[/color][/url]
[color=#ff0000]用eq 运行pal.exe测试,运行到绿色那步会被 《陷井规则》阻止并结束进程,无法作恶。[/color]
运行后的拦截日志如下。
2008-06-21 19:22:45 创建文件 操作:允许
进程路径:D:\2\pal\pal\pal.exe
文件路径:C:\WINDOWS\SYSTEM\systemdrive.bat
[color=#66cc00]2008-06-21 19:23:08 运行应用程序 操作:允许[/color][color=#ff0000](如果是《陷井规则》会阻止并结束进程)[/color]
[color=#66cc00]进程路径:D:\2\pal\pal\pal.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c C:\WINDOWS\SYSTEM\systemdrive.bat[/color]
2008-06-21 19:23:23 创建文件 操作:允许
进程路径:D:\2\pal\pal\pal.exe
文件路径:C:\WINDOWS\inf\Auto1.inf
2008-06-21 19:23:27 创建文件 操作:允许
进程路径:D:\2\pal\pal\pal.exe
文件路径:C:\WINDOWS\inf\Auto2.inf
2008-06-21 19:23:39 创建文件 操作:允许
进程路径:D:\2\pal\pal\pal.exe
文件路径:C:\. ' '仙 剑' ' .\. ' '仙 剑' ' .\pal.exe
2008-06-21 19:23:39 创建文件 操作:允许
进程路径:D:\2\pal\pal\pal.exe
文件路径:d:\. ' '仙 剑' ' .\. ' '仙 剑' ' .\pal.exe
2008-06-21 19:23:39 创建文件 操作:允许
进程路径:D:\2\pal\pal\pal.exe
文件路径:e:\. ' '仙 剑' ' .\. ' '仙 剑' ' .\pal.exe
2008-06-21 19:25:15 创建文件 操作:允许
进程路径:D:\2\pal\pal\pal.exe
文件路径:C:\WINDOWS\SYSTEM32\SVCH0ST.EXE
2008-06-21 19:25:25 创建文件 操作:允许
进程路径:D:\2\pal\pal\pal.exe
文件路径:C:\WINDOWS\SYSTEM32\DLLCACHE\soundman.EXE
2008-06-21 19:25:53 运行应用程序 操作:允许
进程路径:D:\2\pal\pal\pal.exe
文件路径:C:\WINDOWS\SYSTEM32\SVCH0ST.EXE
2008-06-21 19:27:18 创建文件 操作:允许
进程路径:C:\WINDOWS\SYSTEM32\SVCH0ST.EXE
文件路径:C:\WINDOWS\inf\Auto1.inf
2008-06-21 19:27:32 创建文件 操作:允许
进程路径:C:\WINDOWS\SYSTEM32\SVCH0ST.EXE
文件路径:C:\WINDOWS\inf\Auto2.inf
2008-06-21 19:29:16 读取文件 操作:允许
进程路径:C:\WINDOWS\SYSTEM32\SVCH0ST.EXE
文件路径:c:\AutoRun.inf
2008-06-21 19:29:16 读取文件 操作:允许
进程路径:c\WINDOWS\SYSTEM32\SVCH0ST.EXE
文件路径:d\AutoRun.inf
2008-06-21 19:29:16 读取文件 操作:允许
进程路径:C:\WINDOWS\SYSTEM32\SVCH0ST.EXE
文件路径:E:\AutoRun.inf
2008-06-21 19:29:28 创建注册表值 操作:阻止
进程路径:C:\WINDOWS\SYSTEM32\SVCH0ST.EXE
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:SystemDrive
2008-06-21 19:29:28 修改注册表内容 操作:阻止
进程路径:C:\WINDOWS\SYSTEM32\SVCH0ST.EXE
注册表路径:HKEY_CLASSES_ROOT\txtfile\shell\open\command
注册表名称:[Default]
2008-06-21 19:29:28 修改注册表内容 操作:阻止
进程路径:C:\WINDOWS\SYSTEM32\SVCH0ST.EXE
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
注册表名称:UncheckedValue
2008-06-21 19:29:28 修改注册表内容 操作:阻止
进程路径:C:\WINDOWS\SYSTEM32\SVCH0ST.EXE
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:SuperHidden
2008-06-21 19:29:28 修改注册表内容 操作:阻止
进程路径:C:\WINDOWS\SYSTEM32\SVCH0ST.EXE
注册表路径:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:Hidden
[color=red]总结病毒的行为[/color]
1. [color=blue]创建文件
[/color]C:\WINDOWS\SYSTEM\systemdrive.bat
C:\WINDOWS\inf\Auto1.inf
C:\WINDOWS\inf\Auto2.inf
在每个盘下创建AutoRun.inf
2. [color=blue]创建 自身副本[/color]
在每个盘下创建\. ' '仙 剑' ' .\. ' '仙 剑' ' .\pal.exe
C:\WINDOWS\SYSTEM32\SVCH0ST.EXE
C:\WINDOWS\SYSTEM32\DLLCACHE\soundman.EXE
3.运行C:\WINDOWS\SYSTEM32\SVCH0ST.EXE]
在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run创建启动项SystemDrive
用于每次开机运行C:\WINDOWS\SYSTEM32\DLLCACHE\soundman.EXE.
[color=blue]设置txt文件关联
[/color]修改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command 注册表名称[Default]
[color=blue]修改注册表阻止显示隐藏文件。[/color]HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
注册表名称:UncheckedValue
修改注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:SuperHidden
修改注册表:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:Hidden
每盘下的AutoRun.inf文件内容
[AutoRun]
open=''仙剑~1\''仙剑~1\pal.exe
shell\open\Command=''仙剑~1\''仙剑~1\pal.exe
shell\explore\Command=''仙剑~1\''仙剑~1\pal.exe
Auto1.inf文件内容
[AutoRun]
open=''仙剑~1\''仙剑~1\pal.exe
shell\open\Command=''仙剑~1\''仙剑~1\pal.exe
shell\explore\Command=''仙剑~1\''仙剑~1\pal.exe
Auto2.inf文件内容
[AutoRun]
open=e2e2~1\e2e2~1\pal.exe
shell\open\Command=e2e2~1\e2e2~1\pal.exe
shell\explore\Command=e2e2~1\e2e2~1\pal.exe
systemdrive.bat文件内容
@echo off
EXPLORER.exe D:
exit
[color=red]修复方法:[/color]
停止病毒的运行
删除.''仙剑''.目录和其它文件
修复txt文件的注册表关联
修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
注册表名称:UncheckedValue的值为1
[color=red]用于修复的批处理[/color]
del c:\''仙剑~1 /f /a /q
del d:\''仙剑~1 /f /a /q
del e:\''仙剑~1 /f /a /q
del f:\''仙剑~1 /f /a /q
del g:\''仙剑~1 /f /a /q
rd c:\''仙剑~1\ /s /q
rd d:\''仙剑~1\ /s /q
rd e:\''仙剑~1\ /s /q
rd f:\''仙剑~1\ /s /q
rd g:\''仙剑~1\ /s /q
del c:\AutoRun.inf /f /a /q
del d:\AutoRun.inf /f /a /q
del e:\AutoRun.inf /f /a /q
del f:\AutoRun.inf /f /a /q
del g:\AutoRun.inf /a /q
del C:\WINDOWS\SYSTEM\systemdrive.bat /f /a /q
del C:\WINDOWS\inf\Auto1.inf /f /a /q
del C:\WINDOWS\inf\Auto2.inf /f /a /q
del C:\WINDOWS\SYSTEM32\SVCH0ST.EXE /f /a /q
del C:\WINDOWS\SYSTEM32\DLLCACHE\soundman.EXE /f /a /q
reg add "HKEY_CLASSES_ROOT\txtfile\shell\open\command" /ve /t reg_sz /d "notepad.exe %%1" /f
reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden" /v UncheckedValue /t reg_dword /d 1 /f
ntfs格式的盘的.''仙剑''.目录可以删除,[color=red]fat32格式的盘的.''仙剑''.目录无法删除,[/color]用冰刃也无法删除,用wsyscheck发现文件夹下面有个e2e2~1文件夹,e2e2~1要把只读属性去除才能删除。删除e2e2~1文件夹后,就可以删除.''仙剑''.文件夹了。
[color=red]可以设置的陷井规则[/color]
c:\window\*.bat 创建文件 阻止并且结束进程
*.\* 创建文件 阻止并且结束进程
修改HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\SuperHidden
注册表名称:UncheckedValue 阻止并且结束进程
[color=red]hips防守规则[/color]
询问在windows目录生成可运行文件
阻止在每个盘下创建autorun.inf
阻止在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run写入启动项
阻止修改注册表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:SuperHidden
阻止修改注册表:HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced
注册表名称:Hidden
阻止设置txt文件关联
阻止修改注册表HKEY_CLASSES_ROOT\txtfile\shell\open\command 注册表名称[Default] 这个样本前段时间好像在HIPS区讨论过,它那个仙剑文件夹DW回滚不了 是啊,那时还没有行为分析区,所以就发在贴子里面了。
页:
[1]