“鬼影”病毒行为初涉 ---一个新型变种(行为隐秘)

测试平台:vm虚拟机 xp sp3
样本(见附件):取自卡饭
测试工具:直接看图吧

  闲话少说 直接看该样本的行为吧
运行病毒 病毒进程启动 没有界面 很正常 没有病毒敢明目张胆的
  感觉电脑明显变卡 资源占用很大 如图

关机时会出现电脑蓝屏

通过对病毒的监控 取得其主要行为有
进程部分(AD)
病毒本体进程1.exe
  运行一段时间后会启动 cmd。exe进程 如图(额 结束1.exe太快了 没来得及截图)
 
显然 cmd是在运行一个批处理 目的是删除病毒母体 看图吧

文件修改部分
病毒主要释放相关文件有如下的
C:\Program files\MSDN\atixx.sys
C:\Program files\MSDN\000000000
C:\Program files\MSDN\atixx.inf
C:\Program files\MSDN\atixi.sys
C:\Program files\MSDN\000000001
C:\$PrepareToShrinkFileSize
C:\WINDOWS\INF\oem9.inf
C:\WINDOWS\INF\oem9.PNF

修改文件部分
C:\WINDOWS\system32\MmSys.Cpl   
C:\WINDOWS\system32\mdminst.dll   
C:\WINDOWS\system32\SysSetup.Dll 
C:\WINDOWS\system32\NetCfgx.dll 
C:\WINDOWS\system32\sti_ci.dll 
C:\WINDOWS\system32\SysSetup.Dll 
C:\WINDOWS\system32\Batt.dll   
C:\WINDOWS\system32\sdhcinst.dll   
C:\WINDOWS\system32\SysSetup.Dll 
C:\WINDOWS\system32\bthci.dll 
如图


注册表修改部分
由于已知是鬼影 其是通过修改mbr来实现自身加载的 注册表应该没有什么更改 验证如图

在TX中发现的异常 很隐秘啊

核心的RootKit hook

当然 最重要的mbr TX给力啊

遗憾的是没有实地的比较下mbr了
还有的就是网络了 这部分没有特别的监控 望高手指教了 呵呵 毕竟初涉 有很多的不足 大家凑合着看看吧 谢谢了
话说写得好累啊 支持的顶下 有意见的一定要提啊
谨以此文纪念我的卡卡实习生涯 快结束了 呵呵
额 样本在此(有两个哦)

附件: 鬼影病毒样本两个解压密码twoinfected.rar (2011-2-28 23:54:22, 38.79 K)
该附件被下载次数 284


用户系统信息:Mozilla/5.0 (Windows; U; Windows NT 6.1; zh-CN; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13
本帖被评分 1 次
最后编辑kingw3 最后编辑于 2011-02-28 23:57:26