瑞星卡卡安全论坛

今天终于弄好了虚拟机，然后开始第一次的实验......

然后发现之前的一个以前一篇日志看到过的的情况:
http://forum.ikaka.com/topic.asp?board=28&artid=8273894

在这篇日志里面，UFO不幸外人说：
[BAFA4A5A / BAFA4A5A][Stopped/Auto Start]
<C:\WINDOWS\system32\BAFA4A5A.EXE -service><Microsoft Corporation>文件为微软XP盗版正常文件，不知道干什么用的

，但是有一部分版本就有这个文件，8位随机文件名，删不删都没有任何关系




近来好多Q群大发带毒网站链接（几乎每一天都有十条......），今天就拿了其中一个网站（先不公布），然后随着一步步

地点击，发现了一些与UFO不幸外人所说的完全相反的情况......


中间病毒的步骤不说了......直入正题......

首先是这幅图.......

附件: 7836442007224235427.jpg

然后是......

附件: 7836442007224235452.jpg

相关日志：
============

服务:\\AB0D1570添加AB0D1570已停止 (自动) (系统)2007-2-24 23:13:48

============

进程：
  路径： C:\Documents and Settings\VMWare-2000-20070218\Local Settings\Temp\pe.exe
  PID: 780
  信息： ASN.2 Runtime APIs (Microsoft Corporation)
注册表群组： Services
对象：
  注册表键： HKLM\SYSTEM\CurrentControlSet\Services\AB0D1570
  注册表值： Description
      类型: REG_SZ
      值： AB0D1570

==============
父级进程：
  路径： C:\WINNT\system32\SERVICES.EXE
  PID: 208
  信息： Services and Controller app (Microsoft Corporation)
子级进程：
  路径： C:\WINNT\system32\AB0D1570.EXE
  信息： ASN.2 Runtime APIs (Microsoft Corporation)
  命令行：C:\WINNT\system32\AB0D1570.EXE -service
============
进程：
  路径： C:\WINNT\system32\AB0D1570.EXE
  PID: 936
  信息： ASN.2 Runtime APIs (Microsoft Corporation)
对象：
  路径： C:\WINNT\system32\WINLOGON.EXE
  信息： Windows NT Logon Application (Microsoft Corporation)
==========
进程：
  路径： C:\WINNT\system32\AB0D1570.EXE
  PID: 936
  信息： ASN.2 Runtime APIs (Microsoft Corporation)
对象：
  路径： C:\WINNT\system32\WINLOGON.EXE
  信息： Windows NT Logon Application (Microsoft Corporation)
=========
进程：
  路径： C:\WINNT\system32\AB0D1570.EXE
  PID: 936
  信息： ASN.2 Runtime APIs (Microsoft Corporation)
对象：
  路径： C:\WINNT\system32\WINLOGON.EXE
  信息： Windows NT Logon Application (Microsoft Corporation)








可见这个程序还是跟病毒有联系的......
可惜这个网站的病毒后来会搞得Winlogon.exe崩溃、Windows 2000直接蓝屏挂掉，重启都一样......只能用VMWare回到一个snapshot......所以不能够验证这个8位随机文件名跟病毒究竟是什么关系。

本人猜测，这个8位随机文件名的文件本身不会做任何事情，就是只是负责保护病毒文件，因此UFO不幸外人测试它的时候并没有发现问题？


再想一想，难不成现在有一些Ghost XP出现了这样的情况？

留空

谢谢你的测试，希望可以把病毒文件给我，我进行进一步测试。
有一点，你要注意，也就是在你第二张截图中，漏了破绽，这个8位随机文件是修改WINLOGON.EXE文件的，我要测试，我的测试版本会不会不修改这个文件，当时没有注意。

我没有保留副本，删除了，但是在我的病毒库中发现了一个问题，严重的问题，自己没有注意，酿成错误。Trojan.IMMSG.TBMSG.*的文件是8位随机文件，但是每一个8位随机的.exe都要携带一个.dll这个千真万确，有可能使我这里病毒变种不够吧。

以上话纯属我自己的看法。

对于horseluke11十分感谢，非常感谢，你的测试，让我修改了一个不小的漏洞，但是我有以下问题，希望合作进行下一步测试：

1、我测试的版本，和别人的SRE日志不能让windows系统崩溃，包括2000/XP，这个是第一个问题。

2、在盗版的XP中，是否有一种盗版是通过这个8位随机EXE文件破解？

3、这个文件到底是什么病毒释放，到底如何进行操作，到底干了什么，有什么危害。

8位随机文件名的病毒很多吧

楼主没有必要为这个问题争论，既然有人说没问题，那就没问题好了，具体有没有问题，大家心里清楚

同意楼上

引用:

【水树雨下的贴子】楼主没有必要为这个问题争论，既然有人说没问题，那就没问题好了，具体有没有问题，大家心里清楚 ………………

什么啊，你老和我对着干/。。。。。。。。。。。。。。。

偶不懂 随便看看

引用:

【水树雨下的贴子】楼主没有必要为这个问题争论，既然有人说没问题，那就没问题好了，具体有没有问题，大家心里清楚 ………………

呵呵，我想大家都是抱着技术交流的想法才到这个论坛的，如果以前大家因为以前的事情而互相记仇的话，那是我不愿意看到的......

引用:

【UFO不幸外人的贴子】谢谢你的测试，希望可以把病毒文件给我，我进行进一步测试。 有一点，你要注意，也就是在你第二张截图中，漏了破绽，这个8位随机文件是修改WINLOGON.EXE文件的，我要测试，我的测试版本会不会不修改这个文件，当时没有注意。 我没有保留副本，删除了，但是在我的病毒库中发现了一个问题，严重的问题，自己没有注意，酿成错误。Trojan.IMMSG.TBMSG.*的文件是8位随机文件，但是每一个8位随机的.exe都要携带一个.dll这个千真万确，有可能使我这里病毒变种不够吧。 以上话纯属我自己的看法。 对于horseluke11十分感谢，非常感谢，你的测试，让我修改了一个不小的漏洞，但是我有以下问题，希望合作进行下一步测试： 1、我测试的版本，和别人的SRE日志不能让windows系统崩溃，包括2000/XP，这个是第一个问题。 2、在盗版的XP中，是否有一种盗版是通过这个8位随机EXE文件破解？ 3、这个文件到底是什么病毒释放，到底如何进行操作，到底干了什么，有什么危害。 ………………

对于你的问题我试着解答一下，如果有错漏请各位高手指正：
1、这个病毒个人猜测，应该是之前跟现在都闹得挺凶的Asn.2病毒。

猜测依据是根据其日志描述：
  路径： C:\WINNT\system32\AB0D1570.EXE
  信息： ASN.2 Runtime APIs (Microsoft Corporation)
  命令行：C:\WINNT\system32\AB0D1570.EXE -service


相关简介及专杀请到这里：
http://www.360safe.com/k-asn.html

据某一张帖子说，某些电脑中了该病毒之后，只要安装什么杀毒软件、监测工具，都会立即关机。我猜测，这是Windows 2000 SP4（IE6 SP1）会崩溃的原因？

2、据我现在所知道的XP安装碟，在XP SP2以后，相关的盗版XP绝大部分都是VOL形式，要破解，也就只是破解正版验证。然而现在我所接触的所谓正版验证破解，还没有出现这么特别的破解方法......

3、同“问题一”的回答。

===========

最后再补充上一张帖子一下：每个人都有可能犯错误，只要后来改正，那么就是好样的......