文件名:server.exe
CRC32: 238AAB13
MD5: C40DCD0EE8B8DC1D51C97AABF3093CCC
SHA-1: CD7DBB166AA4DB95D62B183CA211E4BBED2BEC41
这个病毒是一个盗号木马,图标高仿ACD,具有很高的伪装性,这个木马会释放并打开一个图片。个人感觉都是比较新的特性。但是苦于自己能力的不足,找不到手动删除的方法,特此请教猫叔。
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\AppData
创建文件:C:\WINDOWS\mytupian.jpg
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Personal
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints\{e9429e60-44b9-11df-af12-806d6172696f}\\BaseClass
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e9429e61-44b9-11df-af12-806d6172696f}\\BaseClass
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e9429e62-44b9-11df-af12-806d6172696f}\\BaseClass
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{e9429e65-44b9-11df-af12-ad4d1497141e}\\BaseClass
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Common
HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Desktop
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\\Common
HKCU\Software\Microsoft\Windows\ShellNoRoam\MUICache\\C:\Program Files\ACDSee5
调用C:\Program Files\ACDSee5\ACDSee5.exe
于此同时调用C:\WINDOWS\system32\taskkill.exe不停的杀掉一些加载的dll文件
利用taskkill.exe 创建 inproc COM server WBEM Locator //这个没理解什么意思,好像是加载了一个什么服务项,但是没有发现有啥新建的服务
还是askkill.exe 创建 inproc COM server 好像是添加键值{00000000-0000-0000-0000-000000000000}
还是taskkill.exe创建 inproc COM server 应该是启动这个服务项Windows Management and Instrumentation
还是taskkill.exe创建 inproc COM server 好像是添加键值 {00000339-0000-0000-C000-000000000046}
还是taskkill.exe 使用Using dangerous system privileges(使用危险的系统特权) AdjustTokenPrivileges(SeDebugPrivilege)(这个也没知道是啥意思)
下面貌似写了一个循环保证Windows Management and Instrumentation能启动。
taskkill.exe Create inproc COM server(这句是什么意思?) PSFactoryBuffer
taskkill.exe Create inproc COM server (貌似是端口通信之类的服务还是啥)Microsoft WBEM WbemClassObject Marshalling proxy
这个盗号木马感觉是比较猥琐的那种,没有进程,没有服务项,网络连接一般的软件也是检测不出来的。那天SSM检测了下,感觉隐蔽性很好,回来又用TINY详细的看看,好像只是修改了一些注册表,还有加载动态函数库,服务之类运行前后也进行了比对下,运行完,和运行后几乎是一样的。
我现在是不知道怎么手动的删除它,以上是不详细的病毒行为分析报告吧。还请猫叔能指教下,哪个地方分析的不对,还有分析中要注意的事项,以及手动清除的方法,不胜感激。
附件: 盗号木马.rar (2010-6-15 23:09:52, 574.77 K)
该附件被下载次数 774
用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Sicent; WoShiHoney.B; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727; .NET CLR 3.0.4506.2152; .NET CLR 3.5.30729)