瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 一个值得警惕的木马——r4.exe
baohe - 2006-8-8 18:57:00


1、样本来源及多引擎扫描结果:
样本是从江民论坛得到的。据说江民今天的病毒库不报。我用瑞星今天的病毒库扫——也不报。
Virustotal多引擎扫描报告(只有三家报,但均无肯定结果):
AntiVir    6.35.1.0    08.08.2006    no virus found   
Authentium    4.93.8    08.08.2006    no virus found   
Avast    4.7.844.0    08.04.2006    no virus found   
AVG    386    08.07.2006    no virus found   
BitDefender    7.2    08.08.2006    no virus found   
CAT-QuickHeal    8.00    08.07.2006    (Suspicious) - DNAScan   
ClamAV    devel-20060426    08.08.2006    no virus found   
DrWeb    4.33    08.08.2006    no virus found   
eTrust-InoculateIT    23.72.89    08.08.2006    no virus found   
eTrust-Vet    12.6.2329    08.08.2006    no virus found   
Ewido    4.0    08.07.2006    no virus found   
Fortinet    2.77.0.0    08.08.2006    Spy/SNIFF   
F-Prot    3.16f    08.06.2006    no virus found   
F-Prot4    4.2.1.29    08.06.2006    no virus found   
Ikarus    0.2.65.0    08.08.2006    no virus found   
Kaspersky    4.0.2.24    08.08.2006    no virus found   
McAfee    4823    08.07.2006    no virus found   
Microsoft    1.1508    08.04.2006    no virus found   
NOD32v2    1.1696    08.07.2006    no virus found   
Norman    5.90.23    08.07.2006    no virus found   
Panda    9.0.0.4    08.07.2006    Suspicious file   
Sophos    4.08.0    08.07.2006    no virus found   
Symantec    8.0    08.08.2006    no virus found   
TheHacker    5.9.8.187    08.07.2006    no virus found   
UNA    1.83    08.07.2006    no virus found   
VBA32    3.11.0    08.07.2006    no virus found   
VirusBuster    4.3.7:9    08.07.2006    no virus found   
2、在XPSP2系统中运行后释放的文件:
C:\program files\tiny firewall pro\zseqkuqd.dll(此马的狡猾之处在于:这个dll文件名随机,释放的目录不定。第一次运行时,这个dll文件释放到C:\Program Files\Rising\Rav目录下,文件名为asufrjdp.dll)。
C:\WINDOWS\system32\drivers\npf.sys
C:\WINDOWS\system32\Packet.dll
C:\WINDOWS\system32\wanpacket.dll
3、进程插入:释放的三个dll全部插入explorer.exe进程。zseqkuqd.dll可能还插入了其它系统进程(用IS强制卸除explorer.exe进程中的zseqkuqd.dll后,这个dll文件依然不能删除。没功夫跟它捣乱。用SSM禁止其加载,重启后,才将zseqkuqd.dll删除)。
4、注册表改动:
(1)在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks分支添加:
"{1A404685-7563-4d02-B0F6-58B308A406A9}"=""
(2)在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Desktop分支添加:
"RXMRU"=hex:00,00,00,00,0c,00,00,00,07,36,07,07,01,00,00,00,0c,00,00,00,07,\
  36,07,07,02,00,00,00,0c,00,00,00,07,36,07,07,03,00,00,00,0c,00,\
  00,00,07,36,07,07,04,00,00,00,0c,00,00,00,07,36,07,07,05,00,00,\
  00,19,00,00,00,07,35,36,3f,29,3f,32,29,36,34,34,29,36,30,30,07,\
  07,0c,00,00,00,0e,00,00,00,07,36,37,37,07,7e,08,00,00,00,0c,00,\
  00,00,07,35,07,37,07,00,00,00,28,00,00,00,07,6f,73,73,77,3d,28,\
  28,35,36,3f,29,3f,32,29,36,34,34,29,36,30,30,28,65,65,65,29,73,\
  7f,73,07,07,0a,00,00,00,0c,00,00,00,07,36,07,37,06,00,00,00,10,\
  00,00,00,07,31,32,33,34,35,07,68,0b,00,00,00,28,00,00,00,07,6f,\
  73,73,77,3d,28,28,35,36,3f,29,3f,32,29,36,34,34,29,36,30,30,28,\
  66,66,66,29,66,74,77,07,07,0d,00,00,00,28,00,00,00,07,6f,73,73,\
  77,3d,28,28,35,36,3f,29,3f,32,29,36,34,34,29,36,30,30,28,64,64,\
  64,29,66,74,77,07,07,ff,ff,ff,ff,0b,00,00,00,07,07,07
(3)在HKEY_CLASSES_ROOT\CLSID\分支添加:
{1A404685-7563-4d02-B0F6-58B308A406A9}
{1A404685-7563-4d02-B0F6-58B308A406A9}\InProcServer32的默认值设置为:
@="c:\\program files\\tiny firewall pro\\zseqkuqd.dll"

(4)在HKLM\System\CurrentControlSet\Services分支添加:
Npf(指向:C:\WINDOWS\system32\drivers\npf.sys)               

【附图】:删掉的木马文件

附件: 155847200688184932.jpg
闪电风暴 - 2006-8-8 19:02:00
谢谢,学习了
闪电风暴 - 2006-8-8 19:04:00
谢谢,学习了
闪电风暴 - 2006-8-8 19:04:00
引用:(1)在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks分支添加:
"{1A404685-7563-4d02-B0F6-58B308A406A9}"=""
空的???
闪电风暴 - 2006-8-8 19:05:00
引用 :
2、在XPSP2系统中运行后释放的文件:
C:\program files\tiny firewall pro\zseqkuqd.dll(此马的狡猾之处在于:这个dll文件名随机,释放的目录不定。第一次运行时,这个dll文件释放到C:\Program Files\Rising\Rav目录下,文件名为asufrjdp.dll)。


================
怎么都往杀软目录里放??迷惑人的??
闪电风暴 - 2006-8-8 19:06:00
请问baohe版主,中了这个木马后HijackThis,Autoruns日志里有什么反映??
baohe - 2006-8-8 19:50:00
引用:
【闪电风暴的贴子】引用:(1)在HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks分支添加:
"{1A404685-7563-4d02-B0F6-58B308A406A9}"=""
空的???
………………

看“HKEY_CLASSES_ROOT\CLSID\{1A404685-7563-4d02-B0F6-58B308A406A9}”
baohe - 2006-8-8 19:51:00
引用:
【闪电风暴的贴子】请问baohe版主,中了这个木马后HijackThis,Autoruns日志里有什么反映??
………………

这种加载方式HijackThis扫不到。Autoruns可以扫到。
baohe - 2006-8-8 19:53:00
引用:
【闪电风暴的贴子】引用 :
2、在XPSP2系统中运行后释放的文件:
C:\program files\tiny firewall pro\zseqkuqd.dll(此马的狡猾之处在于:这个dll文件名随机,释放的目录不定。第一次运行时,这个dll文件释放到C:\Program Files\Rising\Rav目录下,文件名为asufrjdp.dll)。


================
怎么都往杀软目录里放??迷惑人的??
………………

目的可能有两个:
1、迷惑中招者。
2、中招者发样本求助时,很难获得准确的指导。
westbeck - 2006-8-8 20:21:00
又学习了...
和弦外音 - 2006-8-8 21:26:00
天哪!我是菜鸟……我好害怕啊,我只能靠瑞星杀软保护我了…………怕怕!!!
【火影】我爱罗 - 2006-8-8 21:52:00
我看过这个R4.EXE在KV的论坛里.
【火影】我爱罗 - 2006-8-8 21:53:00
你要样本吗?我这里有
【火影】我爱罗 - 2006-8-8 21:54:00
http://forum.jiangmin.com/dispbbs.asp?boardID=2&ID=440589&page=1
这个应该是BAOHE斑竹说的帖子.
【火影】我爱罗 - 2006-8-8 22:12:00
BAOHE问你个问题,你的多引擎扫描在那里弄的?什么网站有?告诉一下谢谢!
jordy1983 - 2006-8-8 22:26:00
学习中……
现在进行时 - 2006-8-9 0:37:00
引用:
【【火影】我爱罗的贴子】BAOHE问你个问题,你的多引擎扫描在那里弄的?什么网站有?告诉一下谢谢!
………………

http://www.virustotal.com/en/indexf.html
【火影】我爱罗 - 2006-8-9 3:20:00
为什么这个多引擎扫描就没有中国的杀软呢?是我们的杀软太垃圾了吗?
【火影】我爱罗 - 2006-8-9 3:25:00
哈,我刚才刚用BAOHE说的引擎扫描了一遍发现点眉目了
Antivirus Version Update Result
AntiVir 6.35.1.0 08.08.2006  no virus found
Authentium 4.93.8 08.08.2006  no virus found
Avast 4.7.844.0 08.08.2006  no virus found
AVG 386 08.08.2006  no virus found
BitDefender 7.2 08.08.2006  no virus found
CAT-QuickHeal 8.00 08.08.2006 (Suspicious) - DNAScan
ClamAV devel-20060426 08.08.2006  no virus found
DrWeb 4.33 08.08.2006  no virus found
eTrust-InoculateIT 23.72.89 08.08.2006  no virus found
eTrust-Vet 12.6.2329 08.08.2006  no virus found
Ewido 4.0 08.08.2006  no virus found
Fortinet 2.77.0.0 08.08.2006  no virus found
F-Prot 3.16f 08.06.2006  no virus found
F-Prot4 4.2.1.29 08.06.2006  no virus found
Ikarus 0.2.65.0 08.08.2006 Backdoor.Win32.Iroffer.Z
Kaspersky 4.0.2.24 08.08.2006  no virus found
McAfee 4824 08.08.2006  no virus found
Microsoft 1.1508 08.04.2006  no virus found
NOD32v2 1.1697 08.08.2006  no virus found
Norman 5.90.23 08.08.2006  no virus found
Panda 9.0.0.4 08.08.2006  no virus found
Sophos 4.08.0 08.08.2006  no virus found
Symantec 8.0 08.08.2006  no virus found
TheHacker 5.9.8.187 08.07.2006  no virus found
UNA 1.83 08.08.2006  no virus found
VBA32 3.11.0 08.07.2006  no virus found
VirusBuster 4.3.7:9 08.08.2006 no virus found
(请大家注意这个:Ikarus 0.2.65.0 08.08.2006 Backdoor.Win32.Iroffer.Z )说明这个杀软已经检测到这个木马了
并且定性为后门.
henku猪猪 - 2006-8-9 9:21:00
linxin有个什么用````  我一直的感觉都不可靠
henku猪猪 - 2006-8-9 9:23:00
呼``~~~~  还是靠自己好了
yesezc - 2006-8-9 9:26:00
学习了。
Azuresky2005 - 2006-8-9 10:10:00
学习中……
S蓝鱼儿 - 2006-8-9 11:51:00
学习..
dady欢欢 - 2006-8-9 11:52:00
学习 中啊!~~~~!!~~
独孤豪侠 - 2006-8-9 15:07:00
学习拉~~~~~~~~~~~~
zkkgsg@163.com    来一个........
baohe - 2006-8-9 15:19:00
引用:
【独孤豪侠的贴子】学习拉~~~~~~~~~~~~
zkkgsg@163.com    来一个........
………………

已发
【火影】我爱罗 - 2006-8-9 17:22:00
已发
哈牛 - 2006-8-9 21:52:00
看不懂阿!!!!!!!
伟大的新一 - 2006-8-9 21:58:00
谢谢你啊!
12
查看完整版本: 一个值得警惕的木马——r4.exe
© 2000 - 2026 Rising Corp. Ltd.