http://forum.ikaka.com/topic.asp?board=28&artid=8243649
这是本来顶置的帖子..今天再次拿到样本..觉得变化大..重新写..
这些东西恶心程度..我不想再说了..如题写分析..
运行 logo1_.exe
释放文件
C:\WINDOWS\logo1_.exe (与威金病毒文件存放路径和文件名相同..)
C:\WINDOWS\SYSTEM32.vxd
C:\WINDOWS\SYSTEM32.TMP
C:\WINDOWS\SYSTEM32.vxd.dat
写入注册表
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer\Run]
"logo1_.exe"="C:\WINDOWS\logo1_.exe"
[HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"logo1_.exe"="C:\WINDOWS\logo1_.exe"
logo1_.exe 运行后 调用 cmd.exe 执行命令 cmd.exe /c dir X:\*.exe /s /b >>C:\WINDOWS\SYSTEM32.vxd.dat
X为某个盘..
而后感染 X 盘内的所有 .exe 文件..
感染后同样释放一个同名文件 后辍为 .exe.tmp
X盘内
system volume information
recycled
俩个文件夹内的 .exe 文件 感染后释放同名文件 后辍为 .exe.dat
新添加的..
X 盘内的每个文件夹内释放一个 _desktop.ini
是学威金 还是 本来就出自 威金 作者手里呢?
同时连入网络下载木马..这次文件名换了..
分别为
C:\WINDOWS\1.exe(Dropper.LMir.agi)
C:\WINDOWS\2.exe(瑞星不报)
C:\WINDOWS\3.exe(Trojan.PSW.ZhengTu.aay)
C:\WINDOWS\4.exe(Trojan.PSW.LMir.lru)
C:\WINDOWS\5.exe(Trojan.Agent.zez)
C:\WINDOWS\6.exe(Trojan.DL.Agent.blt)
C:\WINDOWS\7.exe(Trojan.PSW.LMir.ljc)
C:\WINDOWS\8.exe(Trojan.PSW.WLOnline.cv)
被感染的.exe 文件..头部写入:19613字节 尾部:5字节
汇编还看到些东西..
尝试结束进程
ravmon.exe
ravtask.exe
ravmon.exe
mcshield.exe
vstskmgr.exe
naprdmgr.exe
updaterui.exe
tbmon.exe
ravmond.exe
trojdie.kxp
frogagent.exe
rundll32.exe
system32\drivers\spoclsv.exe(反熊猫一道? 熊猫干威金 威金干熊猫 精彩)
作者留下的字..还是不变..
地址=004081B7
反汇编=MOV EDX,1_.0040858C
文本字串=瑞星 卡巴 金山 诺盾 爱老虎油!!!!!!
简单说说变化..
⒈ 感染的速度 比上次那个快多了..上次是一个盘一个盘来..这次是除系统盘..其他盘一次性感染..
⒉ go.exe 和 autorun.inf 飞走咯..
⒊ _desktop.ini 都跟威金 学吧..
⒋ 结束安全软件进程和熊猫进程..
================================================================
又收到一个..
和上面的差不多..
追加上了 释放文件
X:\pif.exe
X:\Autorun.inf
