卡饭论坛's Archiver



a256886572008 发表于 2008-7-4 19:42

捆綁鴿子的程序

病毒名称:Backdoor.Win32.Hupigon.btxx (Kaspersky)

病毒大小:704 KB

病毒类型:autorun 鴿子

传播方式:U盤

MD5:B92CBE6C1D98A4E91B288223BF460784

测试平台:XP SP3

测试工具(hips):EQSandbox

危害程度:中

病毒分析:
1.病毒一開始就 訪問物理內存
[quote][color=Red]2006-07-04 19:27:38        应用程序保护(访问物理内存)     操作:使用隔离区操作
进程路径:D:\桌面\virus\my\2008.exe
物理内存:\Device\PhysicalMemory[/color][/quote]

2.創建 文件
[quote]2006-07-04 19:27:39        文件保护(创建文件)     操作:使用隔离区操作
进程路径:D:\桌面\virus\my\2008.exe
文件路径:C:\Program Files\Common Files\Microsoft Shared\MSINFO\FieleWay.txt[/quote]

3.運行 IE,並控制 IE 做事情
[quote]2006-07-04 19:27:39        应用程序保护(运行应用程序)     操作:使用隔离区操作
进程路径:D:\桌面\virus\my\2008.exe
文件路径:C:\program files\internet explorer\IEXPLORE.EXE

[color=Red]2006-07-04 19:27:40        应用程序保护(修改其它进程内存)     操作:使用隔离区操作
进程路径:D:\桌面\virus\my\2008.exe
目标进程:C:\program files\internet explorer\IEXPLORE.EXE[/color]

2006-07-04 19:27:40        文件保护(创建文件)     操作:使用隔离区操作
进程路径:C:\program files\internet explorer\IEXPLORE.EXE
文件路径:C:\EQSandBox\C\Program Files\Common Files\Microsoft Shared\MSINFO\rejoice47.exe

2006-07-04 19:27:40        文件保护(修改文件)     操作:使用隔离区操作
进程路径:C:\program files\internet explorer\IEXPLORE.EXE
文件路径:(隐藏文件)C:\EQSandBox\C\Program Files\Common Files\Microsoft Shared\MSINFO\rejoice47.exe

2006-07-04 19:27:41        文件保护(删除文件)     操作:使用隔离区操作
进程路径:C:\program files\internet explorer\IEXPLORE.EXE
文件路径:C:\EQSandBox\C\Program Files\Common Files\Microsoft Shared\MSINFO\FieleWay.txt[/quote]

4.被控制的 IE 做出 U盤病毒行為
[quote]2006-07-04 19:27:40        文件保护(创建文件)     操作:使用隔离区操作
进程路径:C:\program files\internet explorer\IEXPLORE.EXE
文件路径:C:\EQSandBox\C\AutoRun.inf

2006-07-04 19:27:40        文件保护(创建文件)     操作:使用隔离区操作
进程路径:C:\program files\internet explorer\IEXPLORE.EXE
文件路径:C:\EQSandBox\C\rejoice47.exe

2006-07-04 19:27:40        文件保护(创建文件)     操作:使用隔离区操作
进程路径:C:\program files\internet explorer\IEXPLORE.EXE
文件路径:C:\EQSandBox\D\AutoRun.inf

2006-07-04 19:27:41        文件保护(创建文件)     操作:使用隔离区操作
进程路径:C:\program files\internet explorer\IEXPLORE.EXE
文件路径:C:\EQSandBox\D\rejoice47.exe[/quote]

5.IE 運行 calc.exe,並控制 calc.exe,訪問物理內存

防范对策和规则:
1.病毒 訪問物理內存,通常是  想摘掉 SSDT hooks,讓安軟監控失效,所以要阻止

2.U盤病毒行為,要攔截

3.修改進程內存,可以控制別人,所以要注意

載點:
[url]http://uploads.bizhat.com/file/109402[/url]

[[i] 本帖最后由 a256886572008 于 2008-7-4 19:49 编辑 [/i]]

hwwgo 发表于 2008-7-4 22:55

2008.exe = 上兴远程控制2008

訪問物理內存 貌似是 结束进程的 ,不是想 摘SSDT的.

spiha 发表于 2008-7-4 23:17

*** 作者被禁止或删除 内容自动屏蔽 ***

a256886572008 发表于 2008-7-5 00:56

[attach]303294[/attach]

的確沒摘 SSDT hooks,不過卻把 IE 進程  給隱藏了[:10:]

页: [1]

Powered by Discuz! Archiver 6.1.0  © 2001-2007 Comsenz Inc.