12   1  /  2  页   跳转

[原创] 一个有趣的数据流病毒

收藏
本主题由 大版主 baohe 于 2011-8-30 9:40:07 执行 主题置顶/取消 操作
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2011-08-22 17:06 | 只看楼主 短消息 资料
字号: 1楼

一个有趣的数据流病毒

这个病毒的主要文件存放在一个名为$NtUninstallKB31750$文件夹中,样子很像安装补丁留下的DD。此文件夹的权限已被病毒封死。
1、病毒样本运行后释放的文件:









2、病毒样本运行后的注册表改动:





此外,微软还说这类病毒会随机更改系统驱动。但我没观测到。


病毒运行后修改winlogon.exe、explorer.exe内存。

另一个明显的中毒症状是:运行XueTr等辅助工具时,病毒会即刻结束程序进程,并取消该程序的访问权限。

一个例外是:DesikGenius不受此毒影响。DesikGenius运行后,可以删除$NtUninstallKB31750$文件夹中的病毒文件以及windows目录下的那个附着病毒数据流的空文件1538892346。但$NtUninstallKB31750$文件夹无法删除(提示找不到路径)。


此外,位于$Recycle.Bin中的回收站也被病毒附加了病毒数据流。


此毒忽略了系统自带的注册表编辑器。病毒完整运行后,regedit.exe仍可正常运行,且可看到病毒添加的注册表项,当然,也可删除这些项。但是,仅仅这样简单删除没用,因为重启或关机前,病毒会回写这些注册表项。

但有一个土办法可以阻止病毒回写注册表项。即:自己建一个空文件,命名为taskmgr.exe,将其放到当前用户目录下,并取消taskmgr.exe的所有权限。



然后,再如上述操作,删除病毒文件及注册表项。重启,就行了。


后来发现,放在当前用户目录下、被封死权限的那个空文件taskmgr.exe还有预防此毒的作用。事先安排好这个taskmgr.exe,再运行病毒样本,前述病毒动作均不能发生。






用户系统信息:Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
最后编辑baohe 最后编辑于 2011-08-22 17:08:28
分享到:
gototop
 
快乐男孩1233
头像
禁止发言
  • 帖子:148
  • 注册: 2010-08-13
  • 来自:
发表于: 2011-08-22 17:08 | 短消息 资料
字号: 2楼

回复:一个有趣的数据流病毒

该用户帖子内容已被屏蔽
gototop
 
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2011-08-22 17:11 | 只看楼主 短消息 资料
字号: 3楼

回复: 一个有趣的数据流病毒



引用:
原帖由 快乐男孩1233 于 2011-8-22 17:08:00 发表
powertool可以运行解决它吗?



不行


中此毒后, powertool 一运行,立即被病毒关闭,并将其访问权限封死。
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2011-08-22 17:24 | 短消息 资料
字号: 4楼

回复:一个有趣的数据流病毒

猫叔试一下,xp系统实机运行一下这个病毒。ms能出现:病毒会随机更改系统驱动的情况。
gototop
 
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2011-08-22 17:29 | 只看楼主 短消息 资料
字号: 5楼

回复: 一个有趣的数据流病毒



引用:
原帖由 networkedition 于 2011-8-22 17:24:00 发表
猫叔试一下,xp系统实机运行一下这个病毒。ms能出现:病毒会随机更改系统驱动的情况。 



我的两台电脑,都彻底消灭了XP系统。又不敢在别人的电脑上玩儿毒。
gototop
 
病毒4
头像
叱咤花甲狮
  • 帖子:7290
  • 注册: 2008-09-05
  • 来自:
万圣之夜勋章论坛8周年活动礼物就爱不长大论坛9周年纪念09欢乐圣诞10温馨圣诞十周年国庆61周年2010国庆勋章论坛12周年勋章
发表于: 2011-08-22 17:54 | 短消息 资料
字号: 6楼

回复:一个有趣的数据流病毒

猫大爷数据流病毒是个咩呀
gototop
 
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2011-08-22 18:02 | 只看楼主 短消息 资料
字号: 7楼

回复: 一个有趣的数据流病毒



引用:
原帖由 病毒4 于 2011-8-22 17:54:00 发表
猫大爷数据流病毒是个咩呀



样本(密码:123)


附件: yangben.rar (2011-8-22 18:01:55, 179.22 K)
该附件被下载次数 528
gototop
 
病毒4
头像
叱咤花甲狮
  • 帖子:7290
  • 注册: 2008-09-05
  • 来自:
万圣之夜勋章论坛8周年活动礼物就爱不长大论坛9周年纪念09欢乐圣诞10温馨圣诞十周年国庆61周年2010国庆勋章论坛12周年勋章
发表于: 2011-08-22 20:08 | 短消息 资料
字号: 8楼

回复 7F baohe 的帖子

谢谢猫大爷~
gototop
 
奇缘の随风
头像
拙长孩提狮
  • 帖子:132
  • 注册: 2006-11-07
  • 来自:
发表于: 2011-08-23 08:14 | 短消息 资料
字号: 9楼

回复:一个有趣的数据流病毒

我很奇怪,这个病毒控制exp后 删除用户目录下的taskmgr.exe 并没有这个文件,为什么跟他有关系呢?
难道删除后 有创建了看不见的流文件 HIPS 监控不到?

2011-8-23 06:40:10    创建新进程    允许
进程: c:\windows\explorer.exe
目标: e:\downloads\keygen\keygen.exe
命令行: "E:\downloads\Keygen\Keygen.exe"
规则: [应用程序]*

2011-8-23 06:40:16    创建新进程    允许
进程: e:\downloads\keygen\keygen.exe
目标: c:\windows\explorer.exe
命令行: 0000003C*
规则: [应用程序]*

2011-8-23 06:40:19    修改其他进程的内存    允许
进程: e:\downloads\keygen\keygen.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2011-8-23 06:40:29    删除文件    允许
进程: c:\windows\explorer.exe
目标: C:\Documents and Settings\Administrator\wevtapi.dll
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-23 06:40:31    删除文件    允许
进程: c:\windows\explorer.exe
目标: C:\Documents and Settings\Administrator\taskmgr.exe
规则: [应用程序]c:\windows\explorer.exe -> [文件]*
gototop
 
baohe
头像
大版主
  • 帖子:72569
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2011-08-23 08:49 | 只看楼主 短消息 资料
字号: 10楼

回复 9F 奇缘の随风 的帖子

这是此毒“聪明”的一步动作:从系统目录拷贝一个taskmgr.exe到当前用户目录中。然后利用当前用户目录下的这个taskmgr.exe做坏事。
如果用户开着UAC ,病毒这步貌似聪明的动作就是昏招
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT