“鬼影”病毒行为初涉 ---一个新型变种(行为隐秘)
测试平台:vm虚拟机 xp sp3
样本(见附件):取自卡饭
测试工具:直接看图吧
闲话少说 直接看该样本的行为吧
运行病毒 病毒进程启动 没有界面 很正常 没有病毒敢明目张胆的
感觉电
脑明显变卡 资源占用很大 如图
关机时会出现电脑蓝屏 通过对病毒的监控 取得其主要行为有进程部分(AD) 病毒本体进程1.exe 运行一段时间后会启动 cmd。exe进程 如图(额 结束1.exe太快了 没来得及截图) 显然 cmd是在运行一个批处理 目的是删除病毒母体 看图吧文件修改部分 病毒主要
释放相关文件有如下的
C:\Program files\MSDN\atixx.sys
C:\Program files\MSDN\000000000
C:\Program files\MSDN\atixx.inf
C:\Program files\MSDN\atixi.sys
C:\Program files\MSDN\000000001
C:\$PrepareToShrinkFileSize
C:\WINDOWS\INF\oem9.inf
C:\WINDOWS\INF\oem9.PNF修改文件部分
C:\WINDOWS\system32\MmSys.Cpl C:\WINDOWS\system32\mdminst.dll C:\WINDOWS\system32\SysSetup.Dll C:\WINDOWS\system32\NetCfgx.dll C:\WINDOWS\system32\sti_ci.dll C:\WINDOWS\system32\SysSetup.Dll C:\WINDOWS\system32\Batt.dll C:\WINDOWS\system32\sdhcinst.dll C:\WINDOWS\system32\SysSetup.Dll C:\WINDOWS\system32\bthci.dll
如图
注册表修改部分 由于已知是鬼影 其是通过修改mbr来实现自身加载的 注册表应该没有什么更改 验证如图在TX中发现的异常 很隐秘啊 核心的RootKit hook当然
最重要的mbr TX给力啊
遗憾的是没有实地的比较下mbr了
还有的就是网络了 这部分没有特别的监控 望高手指教了 呵呵 毕竟初涉 有很多的不足 大家凑合着看看吧 谢谢了
话说写得好累啊 支持的顶下 有意见的一定要提啊
谨以此文纪念我的卡卡实习生涯 快结束了 呵呵
额 样本在此(有两个哦)
附件: 鬼影病毒样本两个解压密码twoinfected.rar (2011-2-28 23:54:22, 38.79 K)
该附件被下载次数 284
用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 6.1; zh-CN; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13