一个有趣的数据流病毒 bbs.ikaka.com

baohe - 2011-8-22 17:06:00

这个病毒的主要文件存放在一个名为$NtUninstallKB31750$文件夹中，样子很像安装补丁留下的DD。此文件夹的权限已被病毒封死。
1、病毒样本运行后释放的文件：

附件: 您所在的用户组无法下载或查看附件

附件: 您所在的用户组无法下载或查看附件

2、病毒样本运行后的注册表改动：

附件: 您所在的用户组无法下载或查看附件

附件: 您所在的用户组无法下载或查看附件

此外，微软还说这类病毒会随机更改系统驱动。但我没观测到。

病毒运行后修改winlogon.exe、explorer.exe内存。

另一个明显的中毒症状是：运行XueTr等辅助工具时，病毒会即刻结束程序进程，并取消该程序的访问权限。

一个例外是：DesikGenius不受此毒影响。DesikGenius运行后，可以删除$NtUninstallKB31750$文件夹中的病毒文件以及windows目录下的那个附着病毒数据流的空文件1538892346。但$NtUninstallKB31750$文件夹无法删除（提示找不到路径）。

附件: 您所在的用户组无法下载或查看附件

此外，位于$Recycle.Bin中的回收站也被病毒附加了病毒数据流。

此毒忽略了系统自带的注册表编辑器。病毒完整运行后，regedit.exe仍可正常运行，且可看到病毒添加的注册表项，当然，也可删除这些项。但是，仅仅这样简单删除没用，因为重启或关机前，病毒会回写这些注册表项。

但有一个土办法可以阻止病毒回写注册表项。即：自己建一个空文件，命名为taskmgr.exe，将其放到当前用户目录下，并取消taskmgr.exe的所有权限。

附件: 您所在的用户组无法下载或查看附件

然后，再如上述操作，删除病毒文件及注册表项。重启，就行了。

后来发现，放在当前用户目录下、被封死权限的那个空文件taskmgr.exe还有预防此毒的作用。事先安排好这个taskmgr.exe，再运行病毒样本，前述病毒动作均不能发生。

附件: 您所在的用户组无法下载或查看附件

附件: 您所在的用户组无法下载或查看附件

用户系统信息：Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)

快乐男孩1233 - 2011-8-22 17:08:00

该用户帖子内容已被屏蔽

baohe - 2011-8-22 17:11:00

引用:

原帖由 快乐男孩1233 于 2011-8-22 17:08:00 发表
powertool可以运行解决它吗？

不行

中此毒后， powertool 一运行，立即被病毒关闭，并将其访问权限封死。

networkedition - 2011-8-22 17:24:00

猫叔试一下，xp系统实机运行一下这个病毒。ms能出现：病毒会随机更改系统驱动的情况。:kaka12:

baohe - 2011-8-22 17:29:00

引用:

原帖由 networkedition 于 2011-8-22 17:24:00 发表
猫叔试一下，xp系统实机运行一下这个病毒。ms能出现：病毒会随机更改系统驱动的情况。:kaka12:

我的两台电脑，都彻底消灭了XP系统。又不敢在别人的电脑上玩儿毒。:kaka6:

病毒4 - 2011-8-22 17:54:00

猫大爷数据流病毒是个咩呀

baohe - 2011-8-22 18:02:00

引用:

原帖由 病毒4 于 2011-8-22 17:54:00 发表
猫大爷数据流病毒是个咩呀

样本（密码：123）

附件: 您所在的用户组无法下载或查看附件

病毒4 - 2011-8-22 20:08:00

谢谢猫大爷~

奇缘の随风 - 2011-8-23 8:14:00

我很奇怪，这个病毒控制exp后删除用户目录下的taskmgr.exe 并没有这个文件，为什么跟他有关系呢？
难道删除后有创建了看不见的流文件 HIPS 监控不到？

2011-8-23 06:40:10 创建新进程允许
进程: c:\windows\explorer.exe
目标: e:\downloads\keygen\keygen.exe
命令行: "E:\downloads\Keygen\Keygen.exe"
规则: [应用程序]*

2011-8-23 06:40:16 创建新进程允许
进程: e:\downloads\keygen\keygen.exe
目标: c:\windows\explorer.exe
命令行: 0000003C*
规则: [应用程序]*

2011-8-23 06:40:19 修改其他进程的内存允许
进程: e:\downloads\keygen\keygen.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2011-8-23 06:40:29 删除文件允许
进程: c:\windows\explorer.exe
目标: C:\Documents and Settings\Administrator\wevtapi.dll
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-23 06:40:31 删除文件允许
进程: c:\windows\explorer.exe
目标: C:\Documents and Settings\Administrator\taskmgr.exe
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

baohe - 2011-8-23 8:49:00

这是此毒“聪明”的一步动作：从系统目录拷贝一个taskmgr.exe到当前用户目录中。然后利用当前用户目录下的这个taskmgr.exe做坏事。
如果用户开着UAC ，病毒这步貌似聪明的动作就是昏招:kaka12:

奇缘の随风 - 2011-8-23 9:48:00

我和别人测试中都没看到此动作。
可能我是fat32的原因。。。。

baohe - 2011-8-23 10:02:00

当前用户目录下的那个taskmgr.exe是临时从系统中拷贝来的。病毒用完这个程序，即刻删除之。
还有：
C:\Documents and Settings\Administrator\wevtapi.dll
这个库文件（病毒的），你能逮住吗？
俺逮住了:kaka12:
如果想要，我可传上来。

奇缘の随风 - 2011-8-23 11:21:00

wevtapi.dll 不是系统的dll吗。我没有逮到文件，当时我猜测是不是病毒删除文件后再创建文件，然后用这里的文件替换系统的taskmgr.exe和wevtapi.dll。

我用MD 测毒时病毒要修改exp的内存，我就临时允许看看病毒控制exp后是什么动作（平时是阻止陌生程序控制系统进程的）
只看到病毒删除用户目录下的这2个文件，然后没下文了。
我看到别人测试的日志，动作比我这里多，有你文中的动作。还修改驱动目录的sys的文件权限

baohe - 2011-8-23 11:29:00

这个wevtapi.dll 不是系统的。传到virustotal 扫————报毒（不止一家报）。

奇缘の随风 - 2011-8-23 12:13:00

这个病毒的主要还是在服务吧

魔兽高手 - 2011-8-29 0:24:00

taskmgr.exe不是任务管理器程序么，又不会自启动
病毒用它做什么呢？怎么用它来干坏事的？:kaka2:
另外，猫叔能把这个yangben.exe反汇编一下么:kaka12:

baohe - 2011-8-29 8:52:00

引用:

原帖由 魔兽高手 于 2011-8-29 0:24:00 发表
taskmgr.exe不是任务管理器程序么，又不会自启动
病毒用它做什么呢？怎么用它来干坏事的？:kaka2:
另外，猫叔能把这个yangben.exe反汇编一下么:kaka12:

附件是此病毒程序反汇编结果

我不懂编程。完全看不懂。:kaka12:

附件: yangben反汇编.rar

瑞星卡卡安全论坛