卡饭论坛's Archiver



sanhu35 发表于 2008-7-5 12:54

流行的挂马病毒 ck.exe

病毒名称:
小红伞            TR/Downloader.Gen
NOD32v2      probably a variant of Win32/Genetik
Rising            -
Kaspersky    Trojan-Downloader.Win32.Agent.utu

[color=red]传播方式:漏洞挂马 一马多挂
[/color]
[color=red]clsid:[/color]
[color=red]BD96C556-65A3-11D0-983A-00C04FC29E36           ado.stream漏洞 补丁MS06-014
2F542A2E-EDC9-4BF7-8CB1-87C9919F7F93            real漏洞
F917534D-535B-416B-8E8F-0C04756C31A8             联众漏洞[/color]

多引擎扫描结果:[url=http://www.virustotal.com/analisis/3a8327525f6645291db307faa1e1c87d][color=#000000]http://www.virustotal.com/analisis/3a8327525f6645291db307faa1e1c87d[/color][/url]

MD5: 08A68CF8C56B2B5AB17B78B800F75439

SHA1: 638BB2198EA0A8C4A01481EE910A4E381BA2682C

CRC32: 40F014B9

测试平台:XP SP3

测试工具:EQ

hips拦截图:

[attach]303689[/attach]



详细操作:

window及子文件夹写入exe和sys
[quote]
2008-07-05 12:31:37    创建文件      操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\ck.exe
文件路径:C:\WINDOWS\qnvv.exe


2008-07-05 12:36:38 创建文件 操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\ck.exe
文件路径:C:\WINDOWS\system32\drivers\ntdapi.sys
[/quote]

运行jcuj.exe 并操作系统内核:
[quote]
2008-07-05 12:36:34 运行应用程序 操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\ck.exe
文件路径:C:\WINDOWS\jcuj.exe
触发规则:所有程序规则->*


2008-07-05 12:36:34 直接操作系统内核 操作:阻止
进程路径:C:\WINDOWS\jcuj.exe
[/quote]




C盘根目录写入删除自身的bat :
[quote]2008-07-05 12:36:43 创建文件 操作:允许
进程路径:C:\WINDOWS\jcuj.exe
文件路径:C:\rmeslf.bat[/quote]

cr.exe访问服务管理器后 添加服务:
[quote]2008-07-05 12:31:49 访问服务管理器 操作:允许
进程路径:C:\Documents and Settings\Administrator\桌面\ck.exe
2008-07-05 12:36:51 创建注册表值 操作:允许
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Ntdapi
注册表名称:[Key]
触发规则:所有程序规则->服务_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*
[/quote]

最后加载驱动:[attach]303688[/attach]



[color=#ff0000][b]病毒防范对策和规则:[/b][/color]
[b][color=#ff0000]1。注意每月的ms的重要漏洞补丁 [/color][/b]
[b][color=#ff0000]2。注意第3方软件升级到最新版 如:UUS,real ,flash,联众等[/color][/b]
[b][color=#ff0000]3。监控向window文件夹及子文件夹的操作 [/color][/b]
[b][color=#ff0000]4。AD 加载驱动 操作系统内核 物理内存等直接阻止[/color][/b]
[b][color=#ff0000]5。注意bat的内容 限制CMD[/color][/b]

[[i] 本帖最后由 sanhu35 于 2008-7-5 12:57 编辑 [/i]]

a256886572008 发表于 2008-7-5 15:50

msjc.exe  是個  下載者

[quote][oo]
c0=http://ssskuki88.cn/inte/dlld1.exe
c1=http://ssskuki88.cn/inte/dlld2.exe
c2=http://ssskuki88.cn/inte/dlld3.exe
c3=http://ssskuki88.cn/inte/dlld4.exe
c4=http://ssskuki88.cn/inte/dlld5.exe
c5=http://ssskuki88.cn/inte/dlld6.exe
c6=http://ssskuki88.cn/inte/dlld7.exe
c7=http://ssskuki88.cn/inte/dlld8.exe
c8=http://ssskuki88.cn/inte/dlld9.exe
c9=http://ssskuki88.cn/inte/dlld10.exe
c10=http://ssskuki88.cn/inte/dlld11.exe
c11=http://ssskuki88.cn/inte/dlld12.exe
c12=http://ssskuki88.cn/inte/dlld13.exe
c13=http://ssskuki88.cn/inte/dlld14.exe
c14=http://ssskuki88.cn/inte/dlld15.exe
c15=http://adwim8812.cn/inte/dlld16.exe
c16=http://adwim8812.cn/inte/dlld17.exe
c17=http://adwim8812.cn/inte/dlld18.exe
c18=http://adwim8812.cn/inte/dlld19.exe
c19=http://adwim8812.cn/inte/dlld20.exe
c20=http://adwim8812.cn/inte/dlld21.exe
c21=http://adwim8812.cn/inte/dlld22.exe
c22=http://adwim8812.cn/inte/dlld23.exe
c23=http://adwim8812.cn/inte/dlld24.exe
c24=http://adwim8812.cn/inte/dlld25.exe
c25=http://adwim8812.cn/inte/dlld26.exe
c26=http://adwim8812.cn/inte/dlld27.exe
c27=http://adwim8812.cn/inte/dlld28.exe
c28=http://adwim8812.cn/inte/dlld29.exe
c29=http://adwim8812.cn/inte/dlld30.exe[/quote]

sanhu35 发表于 2008-7-5 15:57

msjc.exe 运行后操作内核 阻止后就自删

promised 发表于 2008-7-5 22:59

既然要行为分析
应该允许到底
加载驱动对它很重要

spiha 发表于 2008-7-5 23:03

*** 作者被禁止或删除 内容自动屏蔽 ***

promised 发表于 2008-7-5 23:14

是不是怕加载驱动后eq之类的东东被咔嚓[:14:]

[[i] 本帖最后由 promised 于 2008-7-5 23:17 编辑 [/i]]

spiha 发表于 2008-7-6 05:58

*** 作者被禁止或删除 内容自动屏蔽 ***

molicn 发表于 2008-7-6 11:44

回复 1楼 sanhu35 的帖子

[:26:] 其实禁止CMD防御BAT病毒是最有力的方式。
更改CMD.EXE文件路径名称或者是禁止administrator用户权利为拒绝执行CMD程序也可以防御到一些劈处过HIPS和执行注册表任务!

promised 发表于 2008-7-6 12:52

回复 7楼 spiha 的帖子

实机动态调试有风险
病毒加未知壳
脱壳时就有可能导致病毒程序被加载
所以测试环境为虚拟机
作较完整的行为分析也一样[:xi44:]

sanhu35 发表于 2008-7-7 23:30

[quote]原帖由 [i]molicn[/i] 于 2008-7-6 11:44 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4062104&ptid=282122][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
[:26:] 其实禁止CMD防御BAT病毒是最有力的方式。
更改CMD.EXE文件路径名称或者是禁止administrator用户权利为拒绝执行CMD程序也可以防御到一些劈处过HIPS和执行注册表任务! [/quote]

对一般用户禁止是没问题。
我说限制cmd是建议,限制即无法修改重要区域

sanhu35 发表于 2008-8-29 00:54

[quote]原帖由 [i]promised[/i] 于 2008-7-5 22:59 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4058174&ptid=282122][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
既然要行为分析
应该允许到底
加载驱动对它很重要 [/quote]
想想以前流氓软件为什么那么嚣张?驱动级。
大家都是驱动级谁控制谁还不一定。
这里允许加载驱动和阻止,对行为分析来说没有太大的影响。
就如同 病毒要底层磁盘操作OR 物理内存操作,这里行为已经出现了,提醒大家他是危险的。
允许他我又能知道什么,改变什么呢。加载驱动,底层磁盘等操作允许后的行为已经拦截不到了

PS:我不会逆向。好久后的回复。

[[i] 本帖最后由 sanhu35 于 2008-8-29 00:57 编辑 [/i]]

页: [1]

Powered by Discuz! Archiver 6.1.0  © 2001-2007 Comsenz Inc.