关于ha_80210.exe bbs.ikaka.com

baohe - 2008-7-6 23:44:00

样本来自本社区：http://bbs.ikaka.com/showtopic-8521273.aspx?a=6

这东东比较难缠。

ha_80210.exe运行释放下列文件：
1、windows目录下：tempq（无后缀）
2、system32目录下：四位字母数字随机组合文件名.dll（本次为：cj7g.dll）
3、drivers目录下：五位随机字母数字组合.sys（本次为：4780y.sys）
4、drivers目录下：八位随机字母数字组合.sys（本次为：go0jwnq2.sys）

添加的注册表驱动项：
1、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
键值名：五位随机字母数字组合.sys
2、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
键值名：八位随机字母数字组合.sys

用IceSword配合“软件限制策略”杀毒操作：
1、在“软件限制策略”的“其它规则”中添加如下路径规则
C:\windows\system32\cj7g.dll 不允许
c:\windows\system32\drivers\4780y.sys 不允许
c:\windows\system32\drivers\go0jwnq2.sys 不允许
2、在在“软件限制策略”的“指派的文件类型”中添加DLL和SYS。
3、重启系统。
4、重启后用IceSword删除：
windows目录下的tempq
system32目录下的cj7g.dll
drivers目录下的4780y.sys
drivers目录下的go0jwnq2.sys
5、打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
删除注册表驱动项：go0jwnq2.sys
6、重启系统。
7、打开注册表编辑器，定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
删除注册表驱动项：4780y.sys（注：此项再次重启前无法删除，即使用IceSword也无法删除）。

此毒查杀难点在于病毒文件的确认。四个病毒文件中，三个为随机文件名。且每次中招均有变化。文件的创建日期也不一定是中招的那天。

SRENG日志可以看到病毒驱动项。确认病毒文件，这是一个可以利用的线索。

用户系统信息：Opera/9.51 (Windows NT 5.1; U; zh-cn)

wjzdw - 2008-7-7 0:23:00

运行了看看

提示要联网拒绝并没有什么行为估计又是个下载器

下载的病毒才会创建驱动吧？

freeflay - 2008-7-7 8:56:00

:default1: 貌似不太强悍哦

baohe - 2008-7-7 9:20:00

引用:

原帖由 freeflay 于 2008-7-7 8:56:00 发表
:default1: 貌似不太强悍哦

你可以试试

难的是：如何找到那个.dll。
若不弄死这个dll，前功尽弃。
如果没有把握搞掂这个dll，请不要运行该病毒样本。否则，后果自负。

networkedition - 2008-7-7 10:22:00

猫叔样本是我让用户上报的:default6:

baohe - 2008-7-7 12:01:00

引用:

原帖由 wjzdw 于 2008-7-7 0:23:00 发表
运行了看看

提示要联网拒绝并没有什么行为估计又是个下载器

下载的病毒才会创建驱动吧？

ha_80210.exe运行后，先下载tempq到当前用户临时文件夹，再将tempq拷到windows目录运行。tempq运行后，即释放dll、sys三个病毒文件。

baohe - 2008-7-7 12:02:00

引用:

原帖由 networkedition 于 2008-7-7 10:22:00 发表
猫叔样本是我让用户上报的:default6:

不知他搞掂没？:default3:

networkedition - 2008-7-7 12:04:00

我还没有试，通过sreng可以找出dll和sys吧

baohe - 2008-7-7 12:06:00

引用:

原帖由 networkedition 于 2008-7-7 12:04:00 发表
我还没有试，通过sreng可以找出dll和sys吧

可以找到.sys
但看不到.dll

networkedition - 2008-7-7 12:10:00

那就开着SSM运行样本，总可以找到了吧。

networkedition - 2008-7-7 12:11:00

引用:

原帖由 baohe 于 2008-7-7 12:02:00 发表

引用:

原帖由 networkedition 于 2008-7-7 10:22:00 发表
猫叔样本是我让用户上报的:default6:

不知他搞掂没？:default3:

我给他发短消息了，把你的解决链接发给他了:default6:

baohe - 2008-7-7 12:18:00

引用:

原帖由 networkedition 于 2008-7-7 12:10:00 发表
那就开着SSM运行样本，总可以找到了吧。

我没开SSM玩儿它。不清楚。但我预感SSM可能会漏掉部分内容（SSM受病毒驱动干扰的现象比较普遍）。

networkedition - 2008-7-7 12:28:00

怎么来找呢，用tinnyfirewall 或icesword???

baohe - 2008-7-7 15:49:00

引用:

原帖由 networkedition 于 2008-7-7 12:28:00 发表
怎么来找呢，用tinnyfirewall 或icesword???

要想知道每次中招后的dll具体名称，就我所知道的，只有通过Tiny监控。

天云一剑 - 2008-7-7 20:26:00

跑不起来呢。。。

baohe - 2008-7-7 20:33:00

要玩儿病毒，就要关闭安全软件。
要安全，就在影子系统或虚拟机上玩儿。

spiritfire - 2008-7-7 22:04:00

学习了，谢谢猫叔！

networkedition - 2008-7-8 12:31:00

开着tiny运行样本，只下载到了tempaq没有运行起来。需要关闭tiny吗？在虚拟机里运行的。

networkedition - 2008-7-8 12:32:00

tiny关闭了怎样得到日志？？

baohe - 2008-7-8 14:21:00

引用:

原帖由 networkedition 于 2008-7-8 12:31:00 发表
开着tiny运行样本，只下载到了tempaq没有运行起来。需要关闭tiny吗？在虚拟机里运行的。

开着tiny运行样本，运行方式选择Track'nRevers，tempaq可以运行。在此条件下，若tempq确实不能运行，应该是你的 Tiny设置有问题。这种问题不是防护有漏洞；而是防护规则过严。玩儿毒与正常防护，对Tiny设置的要求是互相矛盾的。

networkedition - 2008-7-8 14:43:00

是否可以理解为玩儿毒时都以Track'nRevers模式来运行样本，tiny还是第一次使用，规则设置不太熟悉。

天云一剑 - 2008-7-8 16:14:00

干脆反汇编它吧

闪电风暴 - 2008-7-8 16:30:00

不一定。一些RK和出于虚荣的病毒、木马会加载驱动。

baohe - 2008-7-8 22:30:00

没生成dll和sys？:default3:
不知你怎么玩儿的。

networkedition - 2008-7-8 22:32:00

猫叔看一下没有生成dll和sys！！！

baohe - 2008-7-8 22:34:00

看24楼的图。我刚有运行了一遍。:default3:

networkedition - 2008-7-8 22:38:00

tiny怎么没有抓到创建的文件，猫叔看一下我的图。有问题吗？

baohe - 2008-7-8 22:43:00

引用:

原帖由 networkedition 于 2008-7-8 22:38:00 发表
tiny怎么没有抓到创建的文件，猫叔看一下我的图。有问题吗？

:default3:
进程插入、写内存－－－－－－－－－－－－你全部允许，还玩儿啥？它玩儿你了！

networkedition - 2008-7-8 22:45:00

呵呵，tiny还用的不熟悉:default6: ，猫叔有教程吗？？

baohe - 2008-7-8 22:50:00

没有教程

瑞星卡卡安全论坛