“极虎”病毒样本的简单分析
一.样本信息
样本名称:8.exe
样本大小:243KB
MD5:ccbe1775eb280c1b6187628534fc34da
病毒链接:http://bbs.ikaka.com/showtopic-8695511-4.aspx(病毒样本在35
楼)当时还以为是那个“极虎”病毒呢!!http://bbs.ikaka.com/showtopic-8695965.aspx看此帖子,越来越感觉这个病毒就是“极虎”了,自己之所不敢发到技术交流区,上面那个“极虎”分析帖子就是说明了一切。我很想知道人家是怎么分析的,这个帖子和那个帖子差距太远了。二.中毒现象
在虚拟机下联网的状态下运行此病毒,
附件:
您所在的用户组无法下载或查看附件运行之后会自动消失
附件:
您所在的用户组无法下载或查看附件随后系统慢慢会感觉很卡,此时的病毒正在链接网络下载病毒木马,并且在临时文件夹里生成数字和字母的随机文件,
附件:
您所在的用户组无法下载或查看附件观察的时候,不时的会有文件的创建,并且还会自动删除。
随后,利用工具查看系统进程,发现如下可疑:
这里说明一下,那个进程是正常的文件,压缩包里这个文件是正常的,只不过病毒是调用这个进程。(说到这,自己问题出来了,对系统里的一些正常文件还是熟悉不到位) 附件:
您所在的用户组无法下载或查看附件按照文件路径一看:
附件:
您所在的用户组无法下载或查看附件很明显是病毒所创建的,在此文件夹是没有此文件的。
使用Windows清理助手,升级到最新版,进行扫描得知:
附件:
您所在的用户组无法下载或查看附件 附件:
您所在的用户组无法下载或查看附件最后打开SRE日志工具:
附件:
您所在的用户组无法下载或查看附件 附件:
您所在的用户组无法下载或查看附件最后,我看到有很多安全杀毒的进程被劫持,我就尝试一下访问瑞星杀毒软件的官网,还有卡卡助手的官网,发现都被屏蔽了,都不能打开,这里我就疑惑了是怎么屏蔽的,一般病毒屏蔽网页,一般采用修改HOST里文件,但是在扫描出日志后我发现哪里并没有修改,随后我又看看浏览器是否出问题,我并没有发现异常,主页也没有被修改,我猜测很有可能是IE浏览器程序被替换,但是我不确定。
附件:
您所在的用户组无法下载或查看附件更让我没有想到的是,此病毒还通过U盘传播,这个很巧合,在虚拟机里测试病毒,一般我是不查U盘,谁知就这么一查就利用上了,发现此病毒的另一种传播方式。
此病毒传播的时候,在U盘里自动创建3个文件,
附件:
您所在的用户组无法下载或查看附件 附件:
您所在的用户组无法下载或查看附件那个734文件里的东西我很疑惑!
附件:
您所在的用户组无法下载或查看附件那个假冒伪劣的回收站里的文件就是病毒文件了。
附件:
您所在的用户组无法下载或查看附件那个autorun.inf这个文件大家应该熟悉不过了。
代码如下:
[autorun]
OPEN=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Setup.exe
shell\open=打开(&O)
shell\open\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Setup.exe Show
shell\open\Default=1//
shell\explore=资源管理器(&X)
shell\explore\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Setup.exe Show
这个U盘的里的病毒我也中招了,但是我看没有啥变化,不知道这病毒葫芦里卖的什么药。下面的病毒文件我打包上传。
还有就是我把那几个U盘的可疑文件删除了,但是唯有一个734(病毒创建的文件名)文件没有删除,点击右键删除没有任何反应,并且属性也没有办法改掉。
附件:
您所在的用户组无法下载或查看附件 附件:
您所在的用户组无法下载或查看附件三.手工清除
此病毒我看也不怎么流行,我就不怎么说明具体查杀方法了,下面打包上传我扫描日志,留给大家练习,还以用来做PLA工具的实验品。
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; Tablet PC 2.0; InfoPath.2)
