瑞星卡卡安全论坛技术交流区入侵防御(HIPS) [应用实例] Tiny与serial.exe周旋记

1   1  /  1  页   跳转

[应用实例] Tiny与serial.exe周旋记

[应用实例] Tiny与serial.exe周旋记

样本来源:http://bbs.janmeng.com/viewthread.php?tid=837181&;extra=page%3D2

文件大小:836K

MD5值:9a462896c43fda83efc9df5691573be8

此毒特点:

双驱动(srosa.sys、srosa2.sys)。病毒驱动加载成功后,恢复SSDT。多款杀软/防火墙失效。
将开机加载运行的用户程序替换为病毒主体程序(原程序名保持不变)。
删除安全模式。
自网络下载病毒文件。 

一、在影子系统中运行serial.exe的观测记录(此毒不能穿透影子系统):

1/更改对象的安全描述符;获得系统权限;开启“服务控制管理器”,遍历系统中存在的服务。

2/找到系统中的服务,即刻结束并控制之。作为例子,下图中显示的是我的tiny防火墙的两个个服务被干掉了。

3/下图显示的例子是windows本身的两个服务被病毒干掉并控制了。接下来,病毒试图在系统驱动目录下释放自身的一个驱动srosa2.sys,但被tiny阻截了。

4/下图是此毒开启SCManager后遍历各种服务的列表(此表中,凡存在的服务,皆被此毒一一结束并控制)。

5/在系统驱动目录下创建病毒文件夹,用来存放下载的病毒文件。接着来损招了:按照HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run项下应用程序启动加载的先后顺序,依次将相应的应用程序替换为病毒主程序(文件名仍为原文件名)。此后,在HKCU\SOFTWARE\下添加了一个注册表健(不知其具体意义,见图)。

6/删除safeboot键,使系统安全模式失效。

二、重启到正常XP系统,设置tiny防御此毒的规则:

1/禁止Tracking组的所有危险动作(因为我遇到不明程序时总选择Tracking模式运行之)。


2/禁止Tracking组的的服务查询/控制动作。

3/禁止Tracking组访问系统驱动目录及子目录(rootkit病毒及多数病毒驱动大多混迹于此)。

三、实机运行serial.exe tiny防御规则的效果:

1/上述设置完成后,重启系统,实机运行病毒样本serial.exe。除了两处注册表改动、创建一个病毒文件夹、强拷贝一个病毒主程序winfilse.exe到系统驱动目录外,病毒的其余动作被阻止,病毒进程自动结束。


用户系统信息:Opera/9.63 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1
最后编辑baohe 最后编辑于 2009-01-23 21:43:52
分享到:
gototop
 

回复:[应用实例] Tiny与serial.exe周旋记

续前

2/系统目录下的病毒文件可直接删除。


3/注册表改动:除了HKCU\.....\RUN下的一个病毒启动项外,其余的注册表改动均未见到。SRENG日志(略)亦未见异常。

4/删除HKCU\.....\RUN下的drvsyskit,刷新一下,再无异常。最后,删除下列注册表项,完事:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\system\EnableLUA
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Security Center\Svc
最后编辑baohe 最后编辑于 2009-01-23 17:31:02
gototop
 

回复:[应用实例] Tiny与serial.exe周旋记

tiny防火墙的服务被控制了

那么tiny防火墙还能继续运行吗??
gototop
 

回复: [应用实例] Tiny与serial.exe周旋记



引用:
原帖由 happysunday2003 于 2009-1-23 20:33:00 发表
tiny防火墙的服务被控制了

那么tiny防火墙还能继续运行吗??


不能
gototop
 

回复:[应用实例] Tiny与serial.exe周旋记

tiny控制后还是能完整的记录病毒的行为吗?虽然我没有试过。
gototop
 

回复: [应用实例] Tiny与serial.exe周旋记



引用:
原帖由 baohe 于 2009-1-23 20:55:00 发表


引用:
原帖由 happysunday2003 于 2009-1-23 20:33:00 发表
tiny防火墙的服务被控制了

那么tiny防火墙还能继续运行吗??


不能



那么猫叔的tiny咋还能运行类???


而且还截了图??
gototop
 

回复: [应用实例] Tiny与serial.exe周旋记



引用:
原帖由 happysunday2003 于 2009-1-23 22:19:00 发表


引用:
原帖由 baohe 于 2009-1-23 20:55:00 发表
[quote] 原帖由 happysunday2003 于 2009-1-23 20:33:00 发表
tiny防火墙的服务被控制了

那么tiny防火墙还能继续运行吗??


不能 ......


有SSM配合。
当此毒试图结束Tiny相关服务时,SSM提示。予以拒绝即可。
gototop
 

回复:[应用实例] Tiny与serial.exe周旋记

那么这个毒的目的是什么??

属于什么性质??

木马??


我看看去
gototop
 

回复: [应用实例] Tiny与serial.exe周旋记

猫叔新年快乐哈

serial.exe开始下载网页,然后存为EXE,都放在了%windir%\system32\drivers\downld
?:\kil\SuperKiller.exe 这个东西运行后,先加载srosa.sys,然后是srosa2.sys
也调用winfilse.exe

%WINDIR%\system32\drivers\winfilse.exe  不断删除安全模式的注册表,以使修复失败

清理到最后还需要删除注册表HKEY_CURRENT_USER\Software\Local AppWizard-Generated Applications 项下的所有执行文件名

那个Bisoft,应该是病毒第一次运行的标志

下面是我在网吧截了个注册表的图
最后编辑天云一剑 最后编辑于 2009-01-27 17:10:41
汰丸,你妈妈六十大寿让你回家吃饭

http://hi.baidu.com/roxiel
gototop
 

应用实例]

该用户帖子内容已被屏蔽
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT