【引狼入室】关于“6间限制的软件永不过期-绿色软件.exe” bbs.ikaka.com

baohe - 2006-9-23 15:22:00

有网友怀疑这个软件中有木马，但也有人认为是杀软误报。如果你去问这个软件的作者，他多半会告诉你：对于这类破解工具，杀软大多报木马。
这个“绿色软件”中究竟有没有木马？
是骡子、是马——拉出来遛遛！
1、运行这个所谓的破解工具，目标是破除“影子系统”的30天试用期限。
运行后，卡巴斯基即刻报毒（图1）。

附件: 1558472006923151417.jpg

baohe - 2006-9-23 15:22:00

2、不让卡巴斯基杀它。接着运行这个ShadowsSetting(AT).exe。运行后，释放一个“幽灵”程序——00050612$game.exe。
之所以称之为“幽灵”，是因为它运行后即刻自动删除，但我想办法截住了它。
00050612$game.exe试图进行磁盘底层存取操作（图2）。我允许它操作一次。

附件: 1558472006923151450.jpg

baohe - 2006-9-23 15:23:00

3、接下来，所谓的“ShadowsSetting.exe”开始运行，但对话框已经变的面目丑陋！且要求访问网络（图3）！

附件: 1558472006923151517.jpg

baohe - 2006-9-23 15:23:00

4、再看看“破解结果”。事实证明：所谓“破解”——完全是骗人的鬼话（图4）！

附件: 1558472006923151544.jpg

baohe - 2006-9-23 15:24:00

5、再用瑞星扫一下这个ShadowsSetting(AT).exe，同样也报毒（图5）。

至此，这个所谓“绿色软件”是骡子、是马——不言自明。

附件: 1558472006923151613.jpg

baohe - 2006-9-23 15:24:00

附：

00037919$game.exe运行后改动的注册表内容：

1、HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\BagMRU\0\1
"MRUListEx"=hex:01,00,00,00,03,00,00,00,00,00,00,00,0e,00,00,00,0d,00,00,00,07,\
00,00,00,0c,00,00,00,0b,00,00,00,0a,00,00,00,05,00,00,00,02,00,\
00,00,09,00,00,00,06,00,00,00,08,00,00,00,04,00,00,00,ff,ff,ff,\
ff
"NodeSlot"=dword:00000006
2、HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\BagMRU
"MRUListEx"=hex:00,00,00,00,01,00,00,00,02,00,00,00,03,00,00,00,04,00,00,00,06,\
00,00,00,07,00,00,00,05,00,00,00,ff,ff,ff,ff
"NodeSlots"=hex:02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,\
02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,\
02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,\
02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,\
02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,\
02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,\
02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,\
02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,\
02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,\
02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,\
02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,\
02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,\
02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,\
02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02,02
3、HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\Bags\6\Shell
"FolderType"="Documents"
4、HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\Bags\42\Shell
"FolderType"="Documents"
5、HKEY_CURRENT_USER\Software\Microsoft\Windows\ShellNoRoam\Bags\97\Shell
"FolderType"="Documents"

6、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections
"SavedLegacySettings"=hex:3c,00,00,00,d3,00,00,00,0b,00,00,00,00,00,00,00,00,00,00,00,00,\
00,00,00,05,00,00,00,00,00,00,00,10,16,d1,d8,3e,dd,c6,01,01,00,\
00,00,c0,a8,01,03,00,00,00,00,00,00,00,00

7、HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Installer\UserData\S-1-5-18\Products\4080710900063D11C8EF10054038389C\Usage
"HandWritingFiles"=dword:35370163
8、HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
"Local AppData"="C:\\Documents and Settings\\baohelin\\Local Settings\\Application Data"

无毒有藕 - 2006-9-23 15:27:00

真正的高手.

艾玛 - 2006-9-23 15:31:00

老猫叔叔，小玛要一份了killvir#gmail.com

换#啊

刀刀笨贼 - 2006-9-23 15:35:00

引用:

【艾玛的贴子】老猫叔叔，小玛要一份了killvir#gmail.com

换#啊
………………

玛玛,偶的工具全忘记带过来了，要重新找呃
……

baohe - 2006-9-23 15:42:00

这就是这个木马运行时的窗口（若不继续操作，不会中招。）

附件: 1558472006923153354.JPG

baohe - 2006-9-23 15:52:00

引用:

【艾玛的贴子】老猫叔叔，小玛要一份了killvir#gmail.com

换#啊
………………

已经转发到：
killvir@gmail.com

你又打错字了（killvir#gmail.com）

猪知山 - 2006-9-23 16:02:00

学习

轩辕小聪 - 2006-9-23 16:06:00

修改的注册表，在日志中是不可见的。所以发现这个东东还真不容易。
猫叔样本给我一份，邮箱见签名。

baohe - 2006-9-23 16:08:00

引用:

【轩辕小聪的贴子】修改的注册表，在日志中是不可见的。所以发现这个东东还真不容易。
猫叔样本给我一份，邮箱见签名。
………………

已发

艾玛 - 2006-9-23 16:16:00

判断生成以(AT).exe结尾和这个$Run.log结尾的文件
报毒的原因可能是因为
1、读取底层动作
2、有如下网络访问动作
open：http://www.hkstar.com/~myst (218.102.23.50)
内容：

<META HTTP-EQUIV="Refresh" CONTENT="1;URL=http://www.netvigator.com">
<HTML>
<Title>netvigator</Title>
<BODY BGCOLOR="#ffffff">

open:mailto:myst@hkstar.com

好象也没啥的

水树雨下 - 2006-9-23 16:22:00

麻烦猫叔给我一份，mizukiuka@163.com

刀刀笨贼 - 2006-9-23 17:07:00

猫叔我也要一个看看：ilif01(_at_)gmail.com

我是来来 - 2006-9-23 17:19:00

老猫叔叔，小WU要一份了lailai@nihao.cn

闪电风暴 - 2006-9-23 18:18:00

学习了

CuDDi - 2006-9-23 18:18:00

学习

闪电风暴 - 2006-9-23 18:19:00

麻烦发一个:kxzhmc500@sina.com

oo123oo3 - 2006-9-23 19:15:00

學習~~貓叔厲害啊

两个铁球 - 2006-9-23 20:42:00

版主真高手！在我手里时，一筹莫展；到了版主手里，就头头是道了。我用这个软件试过SSM，确实临时文件里有个game$,还有个类似的siz2$,用杀软看都不报毒，也不拒绝删除；最后一次是用这试qq，出来的文件类似，被报毒，拒删除，地道的“病毒”。这说明确实是木马（没有繁殖能力）。

两个铁球 - 2006-9-23 21:23:00

我仅用瑞星查杀了它。还需进一步做什么？对照上面将注册表项删除？高手或版主赐教，请!

传说中的宝贝 - 2006-9-23 21:54:00

baohe
你把这个样本给我一下吧
不知道各种各样的日志里能发现么
加密码123

地区性 - 2006-9-23 22:04:00

华军上有一个汉化破解版,那个似乎没病毒

传说中的宝贝 - 2006-9-23 23:02:00

邮件已经收到！谢谢baohe了

不想一个人玩 - 2006-9-23 23:13:00

不懂，基本上处于迷茫状态，要学的东西还很多.....

独孤豪侠 - 2006-9-24 0:16:00

哟。哪来这么一大帮的高手呀。全要分析样本了。。。。。

瑞星卡卡安全论坛