新出RSVS.pif病毒+分析
从百度搜索不到RSVS.pif的信息,看来是新病毒,我来分析一下咯![color=#333399]改程序加壳:nSPack 2.1 - 2.5 -> North Star/Liu Xing Ping(PEiD扫描结果)[/color]
[color=#333399]RSVS.pif其实是标准的exe程序,将其扩展名更改为exe可以发现它的描述是Windows Update Manager for NT,公司为Microsoft Corporation,图标就是wuauclt.exe的图标,显然,它使用Windows升级程序wuauclt.exe的程序资源段进行的全副武装。
RSVS.pif运行后(RSVS.exe同样可以运行,效果肯定是完全相同的)做了这几件事:
1、向system32写入wuauclt.exe文件,也就是替换了系统的自动更新程序
2、向dllcache也写入wuauclt.exe文件,这样系统就无法还原正确的系统文件了。让我惊奇的是,它对系统程序的替换并没有惊动sfc——也就是说没有弹出系统文件被替换的窗口,连csrss.exe都骗过了,做的很绝。
3、在drivers创建beep.sys驱动,它修改系统时间为2004年,很多杀毒软件都会因为时间不正确而无法正常工作,比如卡巴就会弹出激活文件提示、nod32直接退出。
4、向C盘写入lo.tmp文件(经校验md5发现和RSVS.pif内容完全相同),向所有分区下复制RSVS.pif文件,并生成autorun.inf文件,其内容为:[/color]
[color=#0000ff][AutoRun]
shell\open=打开(&O)
shell\open\Command=RSVS.PIF
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\command=RSVS.PIF[/color]
[color=#333399]这是很典型的U盘病毒行为了,通过autorun.inf使原本由explorer.exe打开的资源管理器就由RSVS.PIF接管了,当双击或者在资源管理器中打开某一分区时,病毒运行,并在新窗口打开该分区,这是病毒的一个bug了,在新窗口打开分区会使用户感到不对劲的,建议病毒作者再学习一下explorer的调用参数,不要在新窗口打开资源管理器了(哈哈,我开玩笑的)。
5、反查杀手段:破坏注册表,无法显示隐藏文件和系统文件(注意我在1、2、3、4中提到的病毒所产生的文件全部具有系统、隐藏属性);禁用注册表(其实将regedit.exe改名为regedit.com照样用),病毒在启动目录下产生了一个4.pif文件,一看就知道是病毒,文件名很可能是随机的,病毒用这么笨的手段自动运行,搞笑;禁用使用系统实用配置程序,当在运行msconfig时显示文件正被其他程序使用;360安全卫士无法安装(看样是国产病毒哦),其他杀毒软件很可能也无法安装……[/color]
下面是VirSCAN.org的杀毒报告:
[color=#ff0000]VirSCAN.org Scanned Report :
Scanned time : 2008/08/18 02:06:50 (CST)
Scanner results: 36%的杀软(13/36)报告发现病毒
File Name : RSVS.PIF
File Size : 14210 byte
File Type : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : 065a5e830b2f6c44f330239475ae3cae
SHA1 : 43f3910b80273db6282a5be32d448a79fc466dc5
Online report : [/color][url=http://virscan.org/report/20f83ca96320ad8afd4ac575455fcccd.html][color=#ff0000]http://virscan.org/report/20f83ca96320ad8afd4ac575455fcccd.html[/color][/url]
[color=#ff0000]Scanner Engine Ver Sig Ver Sig Date Time Scan result
a-squared 3.5.0.22 2008.08.17 2008-08-17 14.48 -
安博士V3 2008.08.15.00 2008.08.15 2008-08-15 0.97 -
AntiVir 7.8.1.19 7.0.6.24 2008-08-16 2.31 TR/Crypt.FKM.Gen
Arcavir 1.0.5 200808161418 2008-08-16 1.19 -
AVAST! 3.0.1 080817-0 2008-08-17 0.01 -
AVG 7.5.51.442 270.6.4/1617 2008-08-17 1.99 -
BitDefender 7.60825.1555604 7.20558 2008-08-18 2.85 Win32.Worm.Autorun.LW
CA (VET) 9.0.0.143 31.6.6035 2008-08-15 14.93 -
ClamAV 0.93.3 8051 2008-08-16 0.01 -
Comodo 2.11 2.0.0.619 2008-08-17 0.93 -
CP Secure 1.1.0.715 2008.08.18 2008-08-18 6.13 -
Dr.Web 4.44.0.9170 2008.08.17 2008-08-17 3.11 Trojan.Packed.152
ewido 4.0.0.2 2008.08.17 2008-08-17 4.61 -
F-Prot 4.4.4.56 20080817 2008-08-17 1.27 W32/OnlineGames.A.gen!GSA (generic, not disinfectable)
F-Secure 5.51.6100 2008.08.17.01 2008-08-17 0.04 -
飞塔 2.81-3.11 9.436 2008-08-18 2.66 Suspicious
ViRobot 20080816 2008.08.16 2008-08-16 1.04 -
Ikarus T3.1.01.34 2008.08.17.71291 2008-08-17 3.40 Backdoor.Win32.Agent.ahj
江民杀毒 11.0.706 2008.08.17 2008-08-17 1.37 -
卡巴斯基 5.5.10 2008.08.17 2008-08-17 0.03 -
金山毒霸 2008.1.14.15 2008.8.17.15 2008-08-17 6.91 Win32.Troj.Downloader.if.58880
迈克菲 5.2.00 5362 2008-08-15 2.55 New Malware.dw
Microsoft 1.3807 2008.08.17 2008-08-17 10.37 -
mks_vir 2.01 2008.08.17 2008-08-17 2.62 -
Norman 5.93.01 5.93.00 2008-08-15 4.83 W32/Hupigon.gen67
熊猫卫士 9.05.01 2008.08.17 2008-08-17 8.58 -
趋势科技 8.700-1004 5.482.22 2008-08-17 0.03 -
Quick Heal 9.50 2008.08.16 2008-08-16 5.24 Win32.Packed.Klone.ap03
瑞星 20.0 20.57.62.00 2008-08-17 3.51 -
Sophos 2.77.0 4.32 2008-08-18 2.02 Mal/Behav-204
Sunbelt 3.1.1546.1 2193 2008-08-14 2.19 VIPRE.Suspicious
赛门铁克 1.3.0.24 20080817.003 2008-08-17 2.25 -
nProtect 2008-08-14.01 1801264 2008-08-14 12.60 -
The Hacker 6.2.96 v00396 2008-08-11 1.05 W32/Behav-Heuristic-067
VBA32 3.12.8.3 20080816.1123 2008-08-16 1.15 -
VirusBuster 4.5.11.10 10.84.3/598170 2008-08-17 0.86 -[/color]
看来金山挺争气的,卡巴、瑞星、江民都不吱声啦。
至于如何杀毒,自己想想办法吧,看起来不难吧(今天很晚了,不想分析了),如果你不想动脑筋,那就用[color=#ff00ff]金山[/color]或者[color=#ff00ff]大蜘蛛[/color]杀杀毒吧。 2008-8-18 6:43:36,Trojan.Cap873011.ltzi,木马,show,C:\Documents and Settings\Administrator\桌面\RSVS.PIF,Realtime scan
费尔实力[:xi49:] 请问一下,运行时候卡巴也没有任何提示嘛,扫描不到不代表就能在装卡巴的电脑上面任意的运行[:32:]
3、在drivers创建beep.sys驱动,它修改系统时间为2004年,很多杀毒软件都会因为时间不正确而无法正常工作,比如卡巴就会弹出激活文件提示、nod32直接退出。
这一点对卡巴无效,卡巴7.0.1.325及其更高版本免疫时间问题了
文件 RSVS.rar 接收于 2008.08.18 01:04:54 (CET)
结果: [color=red]2[/color]/36 (5.56%)
正在读取服务器信息中...
您的文件所排队列位置: ___.
预计开始时间为 ___ 和 ___
之间.
扫描完成前请勿关闭窗口.
目前针对您的文件所进行的扫描进程已停止, 我们将会在稍后恢复.
如果您的等候时间超过 5 分钟, 请重新发送文件.
您的文件目前正在被 VirusTotal 扫描中,
结果将会稍后完成时生成.
[align=right][float=left][size=11px][img=14,14]http://www.virustotal.com/img/compress-icon.png[/img] [url=http://www.virustotal.com/zh-cn/analisis/9dd71d6b2d0049eef51030cd8b017ab5#][color=#0000ff]格式化文本[/color][/url] [/size][/float]
[size=11px][color=#0000ff]打印结果[/color] [img=14,14]http://www.virustotal.com/img/print-icon.png[/img] [/size]
[/align]
您的文件已过期或不存在.
目前服务已停止, 您的文件将会稍后的未知时间内进行扫描 (位置:
). 您可以继续等待回应 ([b]自动读取[/b]) 或者在下面的表单内输入您的电子邮件地址, 并按下 "获取", 当扫描完成时, 系统会自动给您发送电子邮件通知. [table=98%][tr][td=1,1,40%]Email:[/td][td][/td][/tr][tr][td][/td][td][/td][/tr][/table]
[table=550][tr][td]反病毒引擎[/td][td]版本[/td][td]最后更新[/td][td]扫描结果[/td][/tr][tr][td]AhnLab-V3[/td][td]2008.8.15.0[/td][td]2008.08.15[/td][td]-[/td][/tr][tr][td]AntiVir[/td][td]7.8.1.19[/td][td]2008.08.16[/td][td]-[/td][/tr][tr][td]Authentium[/td][td]5.1.0.4[/td][td]2008.08.17[/td][td]-[/td][/tr][tr][td]Avast[/td][td]4.8.1195.0[/td][td]2008.08.17[/td][td]-[/td][/tr][tr][td]AVG[/td][td]8.0.0.161[/td][td]2008.08.17[/td][td]-[/td][/tr][tr][td]BitDefender[/td][td]7.2[/td][td]2008.08.18[/td][td]-[/td][/tr][tr][td]CAT-QuickHeal[/td][td]9.50[/td][td]2008.08.16[/td][td]-[/td][/tr][tr][td]ClamAV[/td][td]0.93.1[/td][td]2008.08.16[/td][td]-[/td][/tr][tr][td]DrWeb[/td][td]4.44.0.09170[/td][td]2008.08.17[/td][td]-[/td][/tr][tr][td]eSafe[/td][td]7.0.17.0[/td][td]2008.08.17[/td][td]-[/td][/tr][tr][td]eTrust-Vet[/td][td]31.6.6035[/td][td]2008.08.15[/td][td]-[/td][/tr][tr][td]Ewido[/td][td]4.0[/td][td]2008.08.17[/td][td]-[/td][/tr][tr][td]F-Prot[/td][td]4.4.4.56[/td][td]2008.08.17[/td][td]-[/td][/tr][tr][td]F-Secure[/td][td]7.60.13501.0[/td][td]2008.08.17[/td][td]-[/td][/tr][tr][td]Fortinet[/td][td]3.14.0.0[/td][td]2008.08.17[/td][td]-[/td][/tr][tr][td]GData[/td][td]2.0.7306.1023[/td][td]2008.08.17[/td][td]-[/td][/tr][tr][td]Ikarus[/td][td]T3.1.1.34.0[/td][td]2008.08.17[/td][td]-[/td][/tr][tr][td]K7AntiVirus[/td][td]7.10.417[/td][td]2008.08.15[/td][td]-[/td][/tr][tr][td]Kaspersky[/td][td]7.0.0.125[/td][td]2008.08.18[/td][td]-[/td][/tr][tr][td]McAfee[/td][td]5362[/td][td]2008.08.15[/td][td]-[/td][/tr][tr][td]Microsoft[/td][td]1.3807[/td][td]2008.08.18[/td][td]-[/td][/tr][tr][td]NOD32v2[/td][td]3362[/td][td]2008.08.17[/td][td]the file is probably password protected.[/td][/tr][tr][td]Norman[/td][td]5.80.02[/td][td]2008.08.15[/td][td]-[/td][/tr][tr][td]Panda[/td][td]9.0.0.4[/td][td]2008.08.17[/td][td]-[/td][/tr][tr][td]PCTools[/td][td]4.4.2.0[/td][td]2008.08.17[/td][td]-[/td][/tr][tr][td]Prevx1[/td][td]V2[/td][td]2008.08.18[/td][td]-[/td][/tr][tr][td]Rising[/td][td]20.57.62.00[/td][td]2008.08.17[/td][td]-[/td][/tr][tr][td]Sophos[/td][td]4.32.0[/td][td]2008.08.17[/td][td]-[/td][/tr][tr][td]Sunbelt[/td][td]3.1.1546.1[/td][td]2008.08.15[/td][td]<Encrypted Archive>[/td][/tr][tr][td]Symantec[/td][td]10[/td][td]2008.08.17[/td][td]-[/td][/tr][tr][td]TheHacker[/td][td]6.3.0.3.052[/td][td]2008.08.17[/td][td]-[/td][/tr][tr][td]TrendMicro[/td][td]8.700.0.1004[/td][td]2008.08.16[/td][td]-[/td][/tr][tr][td]VBA32[/td][td]3.12.8.3[/td][td]2008.08.17[/td][td]-[/td][/tr][tr][td]ViRobot[/td][td]2008.8.16.1338[/td][td]2008.08.16[/td][td]-[/td][/tr][tr][td]VirusBuster[/td][td]4.5.11.0[/td][td]2008.08.17[/td][td]-[/td][/tr][tr][td]Webwasher-Gateway[/td][td]6.6.2[/td][td]2008.08.18[/td][td]-[/td][/tr][/table][table=550][tr][td]附加信息[/td][/tr][tr][td]File size: 11924 bytes[/td][/tr][tr][td]MD5...: cb013e90137927eb7253ba1fe2392a9d[/td][/tr][tr][td]SHA1..: d54debe69dfc33dc3a37c46992ed8086adeddc58[/td][/tr][tr][td]SHA256: bbc8ef10ed0173f6d4e8b45616ef821fa52ab2f910ac7583149b134a952c6038[/td][/tr][tr][td]SHA512: 7645ec65ec56fda272a9dbf44f90c398fa23dc59925d49f2a8a6b082bd336c88
f95bbc393e9e517998685b80c9ec11ea7191387263df906f3396badd35abad8e[/td][/tr][tr][td]PEiD..: -[/td][/tr][tr][td]PEInfo: -[/td][/tr][/table]
[[i] 本帖最后由 tcgg1983 于 2008-8-18 07:07 编辑 [/i]] 有密码 怎么不提供密码啊,猜测几下猜出来了,密码123
卡巴今早杀了
已删除:病毒 Worm.Win32.AutoRun.lqw 文件 : D:\软件\其它\v\k\new\1\RSVS\RSVS.PIF 有密码,都不能查杀?[:23:] [:23:] 2008/8/18 8:43:21 Detected: Heur.Trojan.Generic C:\Users\AXO\Downloads\RSVS\RSVS.PIF
昨天15點的病毒庫 密码是 123,在压缩包里有注释的。
卡巴6病毒库在14日时不能杀掉,升级到18日5点就能了,卡巴反应真快![:27:] 貌似不弹出系统文件被替换的不是很难吧~~~ [:15:]
看见有个家伙报了鸽子 大多報可疑
[[i] 本帖最后由 haol 于 2008-8-18 12:44 编辑 [/i]] 分析得好详细.... 实机试了下 重启后就会弹出系统文件被替换的窗口 NOD32 PASS...[:02:] 金山最新的都扫不出来。
回复 15楼 345126766 的帖子
压缩包扫描?压缩包有密码怎么扫描的出。解压后能杀。 McAfee New Malware.dw [attach]338278[/attach][attach]338278[/attach] 木马(Trojan.Cap873011.ltzi): D:\download\RSVS\RSVS.PIF 瑞星病毒查杀结果报告清除病毒种类列表:
病毒: Worm.Win32.DownLoader.bz
MAC 地址:00:11:5B:F3:6D:69
用户来源:互联网
软件版本:20.58.02
页:
[1]
2