瑞星卡卡安全论坛

ZA样本暂放处（2013-1-26）



 附件: 您所在的用户组无法下载或查看附件



今天，在金山论坛看到一个网友介绍了一个BT的“连环套”式的“木马群”。<br>这群马来自：hxxp://dx1.365base.com/downsoft226.exe（没把握的，千万不要下载）。<br>这是个1.53M的EXE文件。图标为安装程序。<br>这么大的文件，一般不大会想到它是木马(其图标又是“安装程序”）。<br>实际上，这是一堆流氓＋木马。<br>厉害的是：downsoft226.exe一旦在你系统中完全运行了，你的厄运就来了。进程列表中多出了svchost.exe（记事本图标）、setup.exe、cdn.exe.....等N个进程。这些进程无法结束，即使你用IceSword禁止进/线程创建，再结束这些进程，也不行。用SSM——同样无效。那个spoolsv.exe时时刻刻、不停地在设置全局钩子（尽管被PG一一拦截下来）。<br>___________________<br>今天索性关闭一些监控软件，只开瑞星2006、SSM，就在普通WINDOWS模式下将这群木马植入系统。<br><font color=#FF0000>感染及查杀过程的简要介绍见本帖17楼</font>

又遇到厉害的木马了~

我们这些菜鸟还是尝试一下，最多Ghost

晕死了！
出了这么厉害的木马，连BAOHE斑竹都束手无策了啊！

晕死了！

不敢!嫩的很！连一个木马都玩不转，甭说群了。嘿嘿

恩,是有蛮难对付,斑竹你试一下用系统的权限禁止这个程序运行看看?

这个海色在分析吧..

昨天试了一个新的TPF规则，今天立马就进不了系统了，只好卸了TPF，这些玩意还是等完虚拟机后再试吧。

【回复“天天泡泡”的帖子】
我的虚拟机也没有安装
现在只安装了瑞星
连一个系统安全监视工具也没有

【回复“baohe”的帖子】

楼主你在WINDOWS下试试呀，也许在真实环境下IceSword就杀得了哦;)
大不了重装系统哈哈

真NB的 东西

针对 那些 不玩病毒 又喜欢收集病毒的人

告诉  一个安全 下载 收藏的办法

把 上述地址 复制到 flashget

重命名那栏默认是 downsoft226.exe

把EXE 改作EXT

然后确定下载
压缩
在压缩文件中 把EXT改作EXE
即可收藏

我是先下载,后改名

老大,先把那BT样本发给杀毒厂商吧.
如果他们能杀,就不劳您亲自动手了.

又有厉害的妖魔出世了！！！期待观看baohe版主的伏魔大法！！

引用:

【greenfrog的贴子】老大,先把那BT样本发给杀毒厂商吧. 如果他们能杀,就不劳您亲自动手了. ...........................

观察时开着瑞星监控。
昨天的瑞星病毒库——可杀其中的一、两个。但似乎没什么用。木马群照样运行。

卡巴 报
Trojan-Downloader.NSIS.Agent.s, not-a-virus:AdWare.Win32.NewWeb.b, not-a-virus:AdWare.Win32.IEHlpr.d, Trojan-Downloader.Win32.Small.cjh, Backdoor.Win32.Agent.wb, Trojan-Downloader.Win32.Delf.aiu, not-a-virus:AdWare.Win32.AllSum.c, not-a-virus:AdWare.Win32.AllSum.a

除了几个广告 比较 NB以外  其余的不算 难处理

引用:

【taylor05771的贴子】卡巴 报 Trojan-Downloader.NSIS.Agent.s, not-a-virus:AdWare.Win32.NewWeb.b, not-a-virus:AdWare.Win32.IEHlpr.d, Trojan-Downloader.Win32.Small.cjh, Backdoor.Win32.Agent.wb, Trojan-Downloader.Win32.Delf.aiu, not-a-virus:AdWare.Win32.AllSum.c, not-a-virus:AdWare.Win32.AllSum.a 除了几个广告 比较 NB以外  其余的不算 难处理 ...........................

木马群downsoft226.exe感染及其杀毒过程
一、感染过程（SSM监视）：共42张截图（编号为16图因操作失误丢失）。
二、杀毒过程：
1、杀毒使用的工具：
瑞星2006
SSM 2.0.0.563
autoruns v8.43
IceSword 1.10
LSPFix
tuneup 2006
2、过程：共8张截图（图44－图51）。
基本过程是这样的：downsoft226.exe在SSM的监控下完全运行后，重启系统。
重启后，瑞星2006杀掉4个木马（有一个需要重启才能杀掉）。
再次重启系统，瑞星干掉那一个（见下面的图）。
SSM拦截掉监控到的项目。
然后用autoruns发现这群木马/流氓的服务项及启动项（看SSM日志也行，但内容太多。不如用autoruns这样找简单。图45－46）。
cdnprot和cdntran两项用autoruns删不掉，改用IceSword禁止进程创建后，将它们删除（这两个驱动文件以及cdnns.dll、cdn.dll也按同样方法用IceSword删除）。
用LSPFix修复winsock.
其它流氓软件的文件可以在windows下手动删除。最后用Tuneup打扫一下注册表中的垃圾。

整个过程比较复杂。如果有系统GHOST备份，用备份恢复系统，比这样手工杀毒简单得多。

注：50张截图已经做成RAR包（2M多），发给了“天天泡泡”斑竹。他会放在网络硬盘上，供感兴趣者下载观看。我就不在这里贴那50张图了。太占地方了。

附件: 1558472006318195257.jpg

baohe安装好，再卸载它们


一个包包downsoft226.exe
                                     

昨天好像很多人在讨论这个东西，忍不住好奇还是看了一下下，很好玩的包包，都是广告程序哇！常见的几个都在里面：
cfs2
IEHelper
NewWeb
QQHelper
Rich Media
中文上网官方版软件（CNNIC）
开心运程速递（SDAstro）
还有几个程序是下载广告程序的，有下载zcom预安装程序，还有其它一些广告。

色月http://ylsmqss.blogchina.com/4686173.html

引用:

【艾玛的贴子】色月http://publishblog.blogchina.com/blog/tb.b?diaryID=4686173 ...........................

附件: 1558472006318172625.jpg

引用:

【baohe的贴子】 ...........................

晕了，引用链接没用……


色月是直接安装，再卸载的

从分析上看
这个包 主要是 以"下载者" 这个木马以及各种衍生的变种为 核心内容.
然后 呢  通过 各种流氓软件 (广告)
达到干扰的目的.
---------------------------------
凡中毒者 机子就是僵尸机.可以穿过 各种默认规则下的防火墙.
这个木马还会从其他地方 下载 各种新的木马 这是比较麻烦的

这个病毒作者很无聊

我昨天下载回来，搞它不行就Ghost了

引用:

【读来毒网的贴子】  我昨天下载回来，搞它不行就Ghost了 ...........................

那你今天再试试看

这个病毒作者很无聊

【回复“baohe”的帖子】
把压缩包发给我吧，我看看，另外也放到我的网络E盘上去。

这些木马真讨厌

编写这个病毒的人要干什么？

呵呵！！！baohe亮剑，所向披蘼!!!