瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 从一个木马的处理看瑞星需要改进的地方
baohe - 2007-1-11 9:22:00

昨天,在“杭州志愿者论坛”看到一个朋友询问网页可疑文件ee79e84a3bc552d2.exe问题。
根据那位朋友给出的网址http://www.admin3000.com/popwin/soft/ee79e84a3bc552d2.exe,下载此程序观察。

ee79e84a3bc552d2.exe运行后,释放下列文件:
C:\windows\system32\C85B5A86.EXE
C:\windows\system32\C85B5A86T.EXE
C:\windows\system32\C85B5A86.DLL
在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services分支添加服务项C85B5A86(指向:C:\windows\system32\C85B5A86.EXE)。
C85B5A86.DLL反复修改winlogon.exe内存并插入该进程中。

手工杀毒初步尝试:
试图用IceSword强制卸除插入winlogon.exe进程中的C85B5A86.DLL————系统崩溃,蓝屏重启。
试图删除木马服务项C85B5A86————可以删除。但重启系统前,木马再次将此服务项写入注册表。

瑞星实时监控所见:
ee79e84a3bc552d2.exe运行期间,瑞星19.05.22实时监控报告C85B5A86.DLL为木马(Trojan.IMMSG.TBMSG.ap),处理方式为“重新启动计算机后删除文件”(图1)。
用瑞星19.05.22扫C85B5A86.EXE、C85B5A86T.EXE两个文件————不报毒。

按照瑞星的提示,重启系统。
重启后,查看winlogon.exe进程中的模块————C85B5A86.DLL依然健在!!(图2)
再看看C:\windows\system32\文件夹中的C85B5A86.EXE和C85B5A86T.EXE————也完好无损!!

至此,已经失去耐心,不想再跟这个木马玩儿了!使出杀手锏(图3)。
再次重启系统,看看瑞星的监控记录————C85B5A86.DLL被删除了(图4)。但是,注册表中服务项(图5)以及system32文件夹中的那两个.exe文件(图6),瑞星不管。得自己手动删除。

这里已经给出了该木马的来源。建议瑞星研发组获取样本后核实一下我所说的这些,改变一下对此马的处理方式。不要“扬汤止沸”;给它来个“釜底抽薪”吧。

图1

附件: 155847200711191809.jpg
baohe - 2007-1-11 9:22:00
图2

附件: 155847200711191322.jpg
baohe - 2007-1-11 9:22:00
图3

附件: 155847200711191340.jpg
baohe - 2007-1-11 9:23:00
图4

附件: 155847200711191400.jpg
baohe - 2007-1-11 9:23:00
图5

附件: 155847200711191424.jpg
baohe - 2007-1-11 9:23:00
图6

附件: 155847200711191441.jpg
鸟儿天上飞 - 2007-1-11 9:30:00
IFEO是很好玩 可是和系统文件一样的病毒没办法加  ..可惜
烂笔头1 - 2007-1-11 9:45:00
哦哦,这毒见过
baohe - 2007-1-11 9:47:00
引用:
【鸟儿天上飞的贴子】IFEO是很好玩 可是和系统文件一样的病毒没办法加  ..可惜
………………

仿冒系统文件名或应用程序文件名的病毒————有另外的处理方法。用SSM这类监控文件MD5的工具处理。
如果你已经设置好了SSM的规则,以后再有类似lsass.exe这类假冒系统的病毒进来,它根本无法运行。SSM会报——lsass.exe不是有效的win32程序。
玻璃钢耗子 - 2007-1-11 10:03:00
还是baohe版主推荐的ssm好用!
newcenturymoon - 2007-1-11 10:22:00
重定向技术怎么把那个注册表加进去亚 用那个autoruns?
taylor05771 - 2007-1-11 10:30:00
随机 文件名的  重定向 就玩完
baohe - 2007-1-11 10:35:00
引用:
【taylor05771的贴子】随机 文件名的  重定向 就玩完
………………

没有包治百病的药。那些“一招克死所有病毒”的高见————玩笑而已。不能当真。病毒的作者不是傻子。

随机文件名的例子,也举过:http://forum.ikaka.com/topic.asp?board=28&artid=8236571
问题的关键是:在做好防护工作的前提下,观察分析病毒的行为特点。因地制宜,灵活处理。重要的是————人脑、人手。
afkp4e7 - 2007-1-11 10:38:00
除了重定向没别的招了么?
baohe - 2007-1-11 10:40:00
引用:
【afkp4e7的贴子】除了重定向没别的招了么?
………………

招,总是有的。这个木马处理起来有些难度,但是,灭它的方法不止一种。
办法————是人想出来的。关键是要动手、动脑,自己实践。
afkp4e7 - 2007-1-11 11:05:00
向猫老大学习
xiaoyueIQ - 2007-1-11 11:43:00
听得我好迷糊啊!!
不过是非常好的帖子!
顶一下!!!!!
艾玛 - 2007-1-11 12:59:00
popwin网页弹窗中较恶劣的一种,看样子是比此前的版本更新了点技术内容


网站弹窗流氓列举http://hi.baidu.com/killvir/blog/item/06176c81202d52d8bc3e1eb4.html


网站弹窗流氓列举http://forum.ikaka.com/topic.asp?board=67&artid=8207128
太史悟寒 - 2007-1-11 13:14:00
虽然看不懂 还是顶一下
闪电风暴 - 2007-1-11 13:36:00
通过AdjustTokenPrivileges调整特权就可以注入到系统进程.目前好像只有TINY有这个防护
高歌猛进 - 2007-1-11 13:50:00


就这几个字节把卡巴给灭了?

@echo off
set date=%date%
**************
ping  ** localhost > nul
date %date%
del %0
zq77 - 2007-1-11 14:49:00
路过 
看过 
学习
西北牛xbn - 2007-1-11 16:19:00
Process Explorer+Autoruns>杀毒软件。
spiritfire - 2007-1-12 20:33:00
学习了,!
1
查看完整版本: 从一个木马的处理看瑞星需要改进的地方
© 2000 - 2026 Rising Corp. Ltd.