1234   1  /  4  页   跳转

[原创] 关于ha_80210.exe

关于ha_80210.exe

样本来自本社区:http://bbs.ikaka.com/showtopic-8521273.aspx?a=6

这东东比较难缠。

ha_80210.exe运行释放下列文件:
1、windows目录下:tempq(无后缀)
2、system32目录下:四位字母数字随机组合文件名.dll(本次为:cj7g.dll)
3、drivers目录下:五位随机字母数字组合.sys(本次为:4780y.sys)
4、drivers目录下:八位随机字母数字组合.sys(本次为:go0jwnq2.sys)

添加的注册表驱动项:
1、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
键值名:五位随机字母数字组合.sys
2、HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
键值名:八位随机字母数字组合.sys

用IceSword配合“软件限制策略”杀毒操作:
1、在“软件限制策略”的“其它规则”中添加如下路径规则
C:\windows\system32\cj7g.dll   不允许
c:\windows\system32\drivers\4780y.sys   不允许
c:\windows\system32\drivers\go0jwnq2.sys  不允许
2、在在“软件限制策略”的“指派的文件类型”中添加DLL和SYS。
3、重启系统。
4、重启后用IceSword删除:
windows目录下的tempq
system32目录下的cj7g.dll
drivers目录下的4780y.sys
drivers目录下的go0jwnq2.sys
5、打开注册表编辑器, 定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
删除注册表驱动项:go0jwnq2.sys
6、重启系统。
7、打开注册表编辑器,定位到HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services
删除注册表驱动项:4780y.sys(注:此项再次重启前无法删除,即使用IceSword也无法删除)。

此毒查杀难点在于病毒文件的确认。四个病毒文件中,三个为随机文件名。且每次中招均有变化。文件的创建日期也不一定是中招的那天。

SRENG日志可以看到病毒驱动项。确认病毒文件,这是一个可以利用的线索。

用户系统信息:Opera/9.51 (Windows NT 5.1; U; zh-cn)
最后编辑baohe 最后编辑于 2008-07-07 08:06:23
分享到:
gototop
 

回复:关于ha_80210.exe

运行了看看

提示要联网  拒绝  并没有什么行为  估计又是个下载器

下载的病毒才会创建驱动吧?
一见钟情,再而衰,三而竭。
gototop
 

回复:关于ha_80210.exe

貌似不太强悍哦
gototop
 

回复: 关于ha_80210.exe



引用:
原帖由 freeflay 于 2008-7-7 8:56:00 发表
貌似不太强悍哦

你可以试试

难的是:如何找到那个.dll。
若不弄死这个dll,前功尽弃。
如果没有把握搞掂这个dll,请不要运行该病毒样本。否则,后果自负。
最后编辑baohe 最后编辑于 2008-07-07 09:40:57
gototop
 

回复:关于ha_80210.exe

猫叔样本是我让用户上报的
gototop
 

回复: 关于ha_80210.exe



引用:
原帖由 wjzdw 于 2008-7-7 0:23:00 发表
运行了看看

提示要联网  拒绝  并没有什么行为  估计又是个下载器

下载的病毒才会创建驱动吧?


ha_80210.exe运行后,先下载tempq到当前用户临时文件夹,再将tempq拷到windows目录运行。tempq运行后,即释放dll、sys三个病毒文件。
gototop
 

回复: 关于ha_80210.exe



引用:
原帖由 networkedition 于 2008-7-7 10:22:00 发表
猫叔样本是我让用户上报的  

不知他搞掂没?
gototop
 

回复 1F baohe 的帖子

我还没有试,通过sreng可以找出dll和sys吧
gototop
 

回复: 关于ha_80210.exe



引用:
原帖由 networkedition 于 2008-7-7 12:04:00 发表
我还没有试,通过sreng可以找出dll和sys吧

可以找到.sys
但看不到.dll
gototop
 

回复 9F baohe 的帖子

那就开着SSM运行样本,总可以找到了吧。
gototop
 
1234   1  /  4  页   跳转
页面顶部
Powered by Discuz!NT