12   1  /  2  页   跳转

[原创] 公布练习样本的有关信息

公布练习样本的有关信息

这个帖子的标题咋这么别扭!想不出合适的了。就它吧。

之所以不敢称为“练习答案”,是因为每个参与者中毒和杀毒过程的具体情形变化多端。因此,没有可以称为“标准答案”的DD。

言归正传。

之所以提供这个毒作为实习生练手的样本,在于它有可能反应出一般入门者常见的毛病--------中毒后缺乏冷静思考。恨不得三下五除二,嘁哩喀喳,将病毒灭绝。

这个毒有个特点:连网状态下,病毒样本完全运行后,如果你不首先断开网络,就急急忙忙地动手结束病毒进程(且不能一次干净利索地结束病毒以及被病毒插入的应用程序进程),病毒会报复你-----进一步增加进入系统的病毒文件。胡乱结束进程操作步骤越多,进入系统的病毒文件越多。

附件是RAR包,内有14幅图片,是中此毒后手工杀毒操作的全部过程。其中有正确的操作步骤,也有成心模拟“未断网就徒劳地结束病毒进程4次操作带来的尴尬局面”。图中有简要文字介绍。相信大家能够理解。

用户系统信息:Opera/9.51 (Windows NT 5.1; U; zh-cn)

附件附件:

文件名:fig.rar
下载次数:282
文件类型:application/x-rar-compressed
文件大小:
上传时间:2008-7-10 20:22:56
描述:rar

本帖被评分 1 次
最后编辑baohe 最后编辑于 2008-07-10 20:23:12
分享到:
gototop
 

回复:公布练习样本的有关信息

带回去

今晚看。
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 

回复: 公布练习样本的有关信息

那我就不客气了,呵呵收走……
打酱油的……
gototop
 

回复:公布练习样本的有关信息

好久没来了,看看。。
gototop
 

回复: 公布练习样本的有关信息

学习

有几个问题想问下。。
BAOHE版主附件里的第二张图片中,为什么在windows任务管理器中可以看到msnhostin.exe这个进程。。而我这里却看不到,只能在iceword中看到呢。。



还有,按照BAOHE版主的做法,组策略里设置如下



重启后,如下文件已删除。


但是那个turVNHwX.dll始终无法删除,提示文件正在被另一个程序使用。。。。



这个。怎么回事呀。。


我这么笨,啥时候才能解决掉这个DD
gototop
 

回复: 公布练习样本的有关信息

BAOHE版主,现在应该是杀干净了吧。
按照您的方法,试了几遍,终于以我的水平没发现其它问题,不知道是否确实把那个DD咔嚓掉了。。。
附件中的第二份日志为现在的日志

昨天晚上没有断网也没有用到ICEWORD的禁止进线程创建功能。。刚才用到您的方法删掉那几个后来出现的文件,有一个没删掉,第一份日志为这个时候的日志。。。。。
请再帮看下

还是那句话,像我这么笨啥时候能学好手工杀毒。。。。

明天再试下先断网禁止进线程创建,然后再杀毒的方法。。。
我的VM里没有任何杀软,那个系统加固用户设置还没有完全理解。。

附件附件:

文件名:SREngLOG.log
下载次数:117
文件类型:application/octet-stream
文件大小:
上传时间:2008-7-11 0:40:00
描述:log

附件附件:

下载次数:95
文件类型:application/octet-stream
文件大小:
上传时间:2008-7-11 0:40:00
描述:log

gototop
 

回复:公布练习样本的有关信息

拿下!!
gototop
 

回复 5F 没有眼泪 的帖子

turVNHwX.dll始终无法删除,应该是它插入了winlogon.exe进程。此dll一旦插入了winlogon,强制卸除都不行(系统崩溃重启)。可以用IceSword强制删除这个病毒文件。然后重启系统,删除其添加的notify键值。
至于你的windows任务管理器为何看不到msnhostin.exe进程,从你那张IceSword进程图看,msnhostin.exe已经变为隐藏进程了。
最后编辑baohe 最后编辑于 2008-07-11 08:23:05
gototop
 

回复 6F 没有眼泪 的帖子

第一份日志:

病毒启动项还在:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<MSN Host><msnhostin.exe>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{68950839-2675-49E2-B6A5-442E0B0D1BA4}><C:\WINDOWS\system32\tuvVNHwX.dll>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\tuvVNHwX]
    <WinlogonNotify: tuvVNHwX><tuvVNHwX.dll>  []
浏览器加载项
[]
  {68950839-2675-49E2-B6A5-442E0B0D1BA4} <C:\WINDOWS\system32\tuvVNHwX.dll, N/A>

winlogon.exe进程插入了两个病毒模块:
[PID: 636 / SYSTEM][\??\C:\WINDOWS\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\tuvVNHwX.dll]  [N/A, ]
    [C:\WINDOWS\system32\ljJYRKdd.dll]  [N/A, ]

explorer.exe进程插入了一个病毒模块:
[PID: 1728 / yezi][C:\WINDOWS\explorer.exe]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\WINDOWS\system32\tuvVNHwX.dll]  [N/A, ]

————————————————————————

第二份日志:

基本干净。

请删除下面的浏览器加载项:

[]
  {68950839-2675-49E2-B6A5-442E0B0D1BA4} <, >
最后编辑baohe 最后编辑于 2008-07-11 08:21:51
gototop
 

回复 6F 没有眼泪 的帖子

[引用]那个系统加固用户设置还没有完全理解


[回复]

那图是针对实机运行病毒者讲的。


如果你的瑞星“系统加固用户设置”中勾选了“登陆附加模块”项,“触发规则时” 勾选了“拒绝”,瑞星会保护HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify下的所有键值项。
你玩儿那个样本时是关闭瑞星监控的,病毒在此键下写入了自己的加载项。
手杀前面的所有操作结束、重启系统后,瑞星所有监控处于开启状态。此时,你不按那图提示临时改一下设置,便无法删除病毒在notify下写入的内容。
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT