MSN 病毒
病毒名称:***病毒大小:42.5 KB
病毒类型:IRC Bot
传播方式:MSN
MD5:C3F86432AF8761EBD044139752AE552D
测试平台:XP SP3
测试工具(hips):EQSandbox
危害程度:中
病毒分析:
1.創建 自啟動項
[quote]2008-07-10 08:13:03 注册表保护(创建注册表值) 操作:使用隔离区操作
进程路径:D:\桌面\virus\msnhostin\newPicture3c\newpicture003c.JPEG-[url]www.facebook.com[/url]
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:Windows Host Booter
[/quote]
2.創建 副本
[quote]2008-07-10 08:13:03 文件保护(创建文件) 操作:使用隔离区操作
进程路径:D:\桌面\virus\msnhostin\newPicture3c\newpicture003c.JPEG-[url]www.facebook.com[/url]
文件路径:C:\WINDOWS\system32\hostbooter.exe
[/quote]
3.修改 host
[quote]2008-07-10 08:13:04 文件保护(修改文件) 操作:使用隔离区操作
进程路径:D:\桌面\virus\msnhostin\newPicture3c\newpicture003c.JPEG-[url]www.facebook.com[/url]
文件路径:C:\WINDOWS\system32\drivers\etc\hosts
[/quote]
[quote]127.0.0.1 [url]www.Merijn.org[/url]
127.0.0.1 [url]www.spywareinfo.com[/url]
127.0.0.1 [url]www.spybot.info[/url]
127.0.0.1 [url]www.viruslist.com[/url]
127.0.0.1 [url]www.hijackthis.de[/url]
127.0.0.1 [url]www.f-secure.com[/url]
127.0.0.1 [url]www.majorgeeks.com[/url]
127.0.0.1 [url]www.avp.com[/url]
127.0.0.1 [url]www.virustotal.com[/url]
127.0.0.1 [url]www.sophos.com[/url]
127.0.0.1 [url]www.avg-antivirus.net[/url]
127.0.0.1 [url]www.kaspersky-labs.com[/url]
127.0.0.1 [url]www.kaspersky.com[/url]
127.0.0.1 [url]www.bleepingcomputer.com[/url]
127.0.0.1 [url]www.free.grisoft.com[/url]
127.0.0.1 securityresponse.symantec.com
127.0.0.1 [url]www.analysis.seclab.tuwien.ac.at[/url]
127.0.0.1 [url]www.symantec.com[/url]
127.0.0.1 updates.symantec.com
127.0.0.1 liveupdate.symantecliveupdate.com
127.0.0.1 liveupdate.symantec.com
127.0.0.1 customer.symantec.com
127.0.0.1 update.symantec.com
127.0.0.1 [url]www.mcafee.com[/url]
127.0.0.1 [url]www.free.avg.com[/url]
127.0.0.1 download.mcafee.com
127.0.0.1 mast.mcafee.com
127.0.0.1 guru0.grisoft.cz
127.0.0.1 guru1.grisoft.cz
127.0.0.1 guru2.grisoft.cz
127.0.0.1 guru3.grisoft.cz
127.0.0.1 guru4.grisoft.cz
127.0.0.1 guru5.grisoft.cz
127.0.0.1 [url]www.virusspy.com[/url]
127.0.0.1 [url]www.download.f-secure.com[/url]
127.0.0.1 [url]www.housecall.trendmicro.com[/url]
127.0.0.1 [url]www.avast.com[/url]
127.0.0.1 [url]www.free.avg.com[/url]
127.0.0.1 [url]www.onlinescan.avast.com[/url]
127.0.0.1 [url]www.futurenow.bitdefender.com[/url]
127.0.0.1 [url]www.bitdefender.com[/url]
127.0.0.1 [url]www.f-prot.com[/url]
127.0.0.1 [url]www.trendsecure.com[/url]
127.0.0.1 [url]www.avira.com[/url]
127.0.0.1 [url]www.eset.com[/url]
127.0.0.1 [url]www.free.avg.com[/url]
127.0.0.1 [url]www.free-av.com[/url]
127.0.0.1 [url]www.2-spyware.com[/url]
127.0.0.1 [url]www.antivir.es[/url]
127.0.0.1 [url]www.prevx.com[/url]
127.0.0.1 [url]www.ikarus.net[/url]
127.0.0.1 [url]www.forums.majorgeeks.com[/url]
127.0.0.1 [url]www.castlecops.com[/url]
127.0.0.1 [url]www.virusspy.com[/url]
127.0.0.1 [url]www.virusinfo.prevx.com[/url]
127.0.0.1 [url]www.trendmicro.com[/url]
127.0.0.1 [url]www.fortinet.com[/url]
127.0.0.1 [url]www.safer-networking.org[/url]
127.0.0.1 [url]www.fortiguardcenter.com[/url]
127.0.0.1 [url]www.firewallguide.com[/url]
127.0.0.1 [url]www.auditmypc.com[/url]
127.0.0.1 [url]www.spywaredb.com[/url]
127.0.0.1 [url]www.pctools.com[/url]
127.0.0.1 [url]www.antivirus.comodo.com[/url]
127.0.0.1 [url]www.spywareterminator.com[/url]
127.0.0.1 [url]www.eradicatespyware.net[/url]
127.0.0.1 [url]www.freespywareremoval.info[/url]
127.0.0.1 [url]www.clamav.net[/url]
127.0.0.1 [url]www.antivirus.about.com[/url]
127.0.0.1 [url]www.pandasecurity.com[/url]
127.0.0.1 [url]www.webphand.com[/url]
127.0.0.1 [url]www.sandboxie.com[/url]
127.0.0.1 [url]www.clamwin.com[/url]
127.0.0.1 [url]www.cwsandbox.org[/url]
127.0.0.1 [url]www.ca.com[/url]
127.0.0.1 [url]www.networkworld.com[/url]
127.0.0.1 [url]www.research.sunbelt-software.com[/url]
127.0.0.1 [url]www.threatexpert.com[/url]
127.0.0.1 [url]www.norman.com[/url]
127.0.0.1 virscan.org
127.0.0.1 [url]www.viruschief.com[/url]
127.0.0.1 scanner.virus.org
127.0.0.1 [url]www.hijackthis.de[/url]
127.0.0.1 hjt.networktechs.com
127.0.0.1 [url]www.techsupportforum.com[/url]
127.0.0.1 [url]www.whatthetech.com[/url]
127.0.0.1 [url]www.soccersuck.com[/url]
127.0.0.1 forum.piriform.com
127.0.0.1 [url]www.tweaksforgeeks.com[/url]
127.0.0.1 [url]www.daniweb.com[/url]
127.0.0.1 [url]www.geekstogo.com[/url]
127.0.0.1 [url]www.pchell.com[/url]
127.0.0.1 [url]www.spyany.com[/url]
127.0.0.1 forums.techguy.org
127.0.0.1 [url]www.experts-exchange.com[/url]
127.0.0.1 forum.tweaks.com
127.0.0.1 [url]www.wilderssecurity.com[/url]
127.0.0.1 [url]www.techspot.com[/url]
127.0.0.1 [url]www.thecomputerpitstop.com[/url]
127.0.0.1 [url]www.computing.net[/url]
127.0.0.1 discussions.virtualdr.com
127.0.0.1 forum.securitycadets.com
127.0.0.1 [url]www.techimo.com[/url]
127.0.0.1 [url]www.infosecpodcast.com[/url]
127.0.0.1 [url]www.csrrt.org[/url]
127.0.0.1 [url]www.net-security.org[/url]
127.0.0.1 [url]www.bleedingthreats.net[/url]
127.0.0.1 zhidao.baidu.com
127.0.0.1 bbs.360safe.com
127.0.0.1 hjt-data.trend-braintree.com
127.0.0.1 [url]www.360.cn[/url]
127.0.0.1 file.ikaka.com
127.0.0.1 [url]www.pantip.com[/url]
127.0.0.1 secubox.aldria.com
127.0.0.1 [url]www.forospyware.com[/url]
127.0.0.1 [url]www.siteadvisor.com[/url]
127.0.0.1 blog.threatfire.com
127.0.0.1 [url]www.threatexpert.com[/url]
127.0.0.1 blog.hispasec.com
127.0.0.1 [url]www.offensivecomputing.net[/url]
127.0.0.1 [url]www.grisoft.com[/url]
[/quote]
4.命令行 運行cmd.exe,刪除 母體目錄 和 接收文件目錄 和 桌面 下的 *.com *.zip
[quote]2008-07-10 08:13:06 应用程序保护(运行应用程序) 操作:使用隔离区操作
进程路径:D:\桌面\virus\msnhostin\newPicture3c\newpicture003c.JPEG-[url]www.facebook.com[/url]
文件路径:C:\WINDOWS\system32\CMD.exe
命令行:/C del /F /S /Q "%HOMEPATH%\My Documents\My Recieved Files\*.com"
2008-07-10 08:13:06 应用程序保护(运行应用程序) 操作:使用隔离区操作
进程路径:D:\桌面\virus\msnhostin\newPicture3c\newpicture003c.JPEG-[url]www.facebook.com[/url]
文件路径:C:\WINDOWS\system32\CMD.exe
命令行:/C del /F /S /Q "%HOMEPATH%\My Documents\My Recieved Files\*.zip"
2008-07-10 08:13:05 应用程序保护(运行应用程序) 操作:使用隔离区操作
进程路径:D:\桌面\virus\msnhostin\newPicture3c\newpicture003c.JPEG-[url]www.facebook.com[/url]
文件路径:C:\WINDOWS\system32\CMD.exe
命令行:/C del /F /S /Q "%HOMEPATH%\Desktop\*.com"
2008-07-10 08:13:05 应用程序保护(运行应用程序) 操作:使用隔离区操作
进程路径:D:\桌面\virus\msnhostin\newPicture3c\newpicture003c.JPEG-[url]www.facebook.com[/url]
文件路径:C:\WINDOWS\system32\CMD.exe
命令行:/C del /F /S /Q "%HOMEPATH%\Desktop\*.zip"
2008-07-10 08:13:05 应用程序保护(运行应用程序) 操作:使用隔离区操作
进程路径:D:\桌面\virus\msnhostin\newPicture3c\newpicture003c.JPEG-[url]www.facebook.com[/url]
文件路径:C:\WINDOWS\system32\CMD.exe
命令行:/C del /F /S /Q *.com
2008-07-10 08:13:04 应用程序保护(运行应用程序) 操作:使用隔离区操作
进程路径:D:\桌面\virus\msnhostin\newPicture3c\newpicture003c.JPEG-[url]www.facebook.com[/url]
文件路径:C:\WINDOWS\system32\CMD.exe
命令行:/C del /F /S /Q *.zip
2008-07-10 08:13:07 文件保护(删除文件) 操作:阻止
进程路径:C:\WINDOWS\system32\CMD.exe
文件路径:D:\桌面\virus\msnhostin\newPicture3c\newpicture003c.JPEG-[url]www.facebook.com[/url]
2008-07-10 08:13:07 文件保护(删除文件) 操作:阻止
进程路径:C:\WINDOWS\system32\CMD.exe
文件路径:D:\桌面\virus\msnhostin\newPicture3c\newpicture003c.JPEG-[url]www.facebook.com[/url]
[/quote]
5.添加註冊表,重啟後,叫 smss.exe 刪除
[quote]2008-07-10 08:13:11 注册表保护(创建注册表值) 操作:使用隔离区操作
进程路径:D:\桌面\virus\msnhostin\newPicture3c\newpicture003c.JPEG-[url]www.facebook.com[/url]
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Control\Session Manager
注册表名称:PendingFileRenameOperations
[/quote]
6.命令行 運行cmd.exe,刪除自身
[quote]2008-07-10 08:13:11 应用程序保护(运行应用程序) 操作:使用隔离区操作
进程路径:D:\桌面\virus\msnhostin\newPicture3c\newpicture003c.JPEG-[url]www.facebook.com[/url]
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c del D:\桌面\virus\msnhostin\newPicture3c\newpicture003c.JPEG-[url]www.facebook.com[/url] > nul
2008-07-10 08:13:12 文件保护(删除文件) 操作:阻止
进程路径:C:\WINDOWS\system32\cmd.exe
文件路径:D:\桌面\virus\msnhostin\newPicture3c\newpicture003c.JPEG-[url]www.facebook.com[/url]
[/quote]
7.運行 副本
[quote]2008-07-10 08:13:04 应用程序保护(运行应用程序) 操作:使用隔离区操作
进程路径:D:\桌面\virus\msnhostin\newPicture3c\newpicture003c.JPEG-[url]www.facebook.com[/url]
文件路径:C:\WINDOWS\system32\hostbooter.exe
[/quote]
8.副本 創建 .txt
[quote]2008-07-10 08:13:15 文件保护(创建文件) 操作:使用隔离区操作
进程路径:C:\WINDOWS\system32\hostbooter.exe
文件路径:C:\EQSandBox\C\Documents and Settings\Roger\Local Settings\Temporary Internet Files\Content.IE5\BU331MNV\jsp[1].txt
[/quote]
[quote]does this picture look good? I just editied it!
could you be awesome and try to see what's wrong with this pic? I can't get it to show up right.
I bet you have never seen this before, it's pretty crazy!
how do you think this would look as my new default pic?
do you mind if I throw this photo of you on my new album?
Did you see the party pics from last weekend? I think this one is the besttt!
You think this pic looks sexy at all? I'm trying to get a good pose.
[/quote]
9.副本 訪問網路,下載病毒
[quote]2008-07-10 08:13:16 文件保护(创建文件) 操作:使用隔离区操作
进程路径:C:\WINDOWS\system32\hostbooter.exe
文件路径:C:\EQSandBox\C\Documents and Settings\Roger\Local Settings\Temporary Internet Files\Content.IE5\BU331MNV\Sp7ua[1].exe
[/quote]
10.副本 創建 .zip,想控制 MSN,發送病毒壓縮包
[quote]2008-07-10 08:13:17 文件保护(创建文件) 操作:使用隔离区操作
进程路径:C:\WINDOWS\system32\hostbooter.exe
文件路径:C:\EQSandBox\C\Documents and Settings\Roger\Local Settings\Temp\newPicture9b.zip
[/quote]
防范对策和规则:
1.[color=Red]阻止病毒 遠程調用下列MSN 的 COM對象[/color]
[quote]
[color=Red]{F81CD990-910B-4bbf-9CB3-6A77F3D697B3}
MSNMessenger.UIAutomation
{B69003B3-C55E-4b48-836C-BC5946FC3B28}
Messenger.UIAutomation.1[/color]
[/quote]
2.阻止 cmd.exe 刪除 重要文件
3.阻止 修改 host
4.阻止病毒 創建自啟動項
[[i] 本帖最后由 a256886572008 于 2008-7-10 09:35 编辑 [/i]] 受教了,谢谢分析! 上报小红伞居然 说no virus...[:xi51:] 感谢分析工作~~
页:
[1]