123   1  /  3  页   跳转

一个比较狡猾的病毒my_70530.exe

一个比较狡猾的病毒my_70530.exe

样本来自:http://bbs.janmeng.com/thread-729874-1-1.html

瑞星20.37.30不报毒。

my_70530.exe运行后在%windows%目录下释放病毒文件tempq。tempq通过80端口访问网络58.221.7.41(图1、图2)

此后,在系统驱动目录下释放两个病毒驱动.sys,在system32目录下释放一个病毒文件.dll。这三个病毒文件名随机变化(数字、字母搭配,位数不固定。本次释放的病毒文件见图2-4。)。
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services分支下添加两个驱动项,驱动项名称与上述两个.sys的文件名相同。
中招后,用IceSword查看进程列表————无异常进程。

借助瑞星2008主动防御的查杀流程:

1、在“应用程序访问控制”中添加规则,禁止任何程序访问这三个病毒文件。
2、在“程序启动控制”中添加规则,禁止任何程序启动这三个病毒程序。
3、重启。用IceSword删除病毒这四个文件及其驱动项。病毒添加的驱动项只能删除其中一个,另外一个删不掉。再次重启。
4、重启后系统报错(图5)。不理它(这是病毒dll文件被删除引起的)。
5、用IceSword删除剩余的病毒驱动项(图6)。

此毒的查杀难点在于:
1、病毒文件名随即变化。中招后,到论坛求助时务必提供SRENG等工具扫的完整日志。有经验的朋友,可以在SRENG或autoruns日志中发现异常驱动项。
2、那个病毒dll貌似通过rundll32间接加载(中毒后重启系统,我用SSM观察到:rundll32.exe试图改写explorer.exe内存)。注册表都搜遍了,搜不到与病毒dll有关的加载项。
因此,找到并灭掉这个病毒dll是手工杀毒的核心环节。如果没有HIPS一类的安全工具监控,这个病毒dll难以确定。


图1




[用户系统信息]Opera/9.26 (Windows NT 5.1; U; zh-cn)

附件附件:

下载次数:449
文件类型:image/pjpeg
文件大小:
上传时间:2008-3-27 18:09:05
描述:
预览信息:EXIF信息



最后编辑2008-04-20 11:33:38
分享到:
gototop
 

图2

附件附件:

下载次数:459
文件类型:image/pjpeg
文件大小:
上传时间:2008-3-27 18:09:26
描述:
预览信息:EXIF信息



gototop
 

图3

附件附件:

下载次数:481
文件类型:image/pjpeg
文件大小:
上传时间:2008-3-27 18:09:43
描述:
预览信息:EXIF信息



gototop
 

图4

附件附件:

下载次数:442
文件类型:image/pjpeg
文件大小:
上传时间:2008-3-27 18:09:57
描述:
预览信息:EXIF信息



gototop
 

图5

附件附件:

下载次数:460
文件类型:image/pjpeg
文件大小:
上传时间:2008-3-27 18:10:16
描述:
预览信息:EXIF信息



gototop
 

图6

附件附件:

下载次数:481
文件类型:image/pjpeg
文件大小:
上传时间:2008-3-27 18:10:36
描述:
预览信息:EXIF信息



gototop
 

永远跟进学习,,
gototop
 

刚才发早了.
猫叔,,,不好意思啊!
gototop
 

这个DLL文件可真烦人。
gototop
 

我看到一屏幕的dll时,更是恶心啊
gototop
 
123   1  /  3  页   跳转
页面顶部
Powered by Discuz!NT