济南论坛 » 〖技术论坛〗 » 论坛提交的病毒样本技术分析

幽游三少 发表于 2008-7-3 02:00

论坛提交的病毒样本技术分析

样本地址：[url=http://www.hackpro.cn/thread-12985-1-1.html][color=#800080]http://www.hackpro.cn/thread-12985-1-1.html[/color][/url]7g~.A2v MF*Y8ESi
5DVY7h6H/N
运行病毒样本：
X'k8{j2~"? 进程监控截图如下： J8x{
M\*j"WLV
[attach]148227[/attach]
P v,CgE:Rf [attach]148228[/attach]
a%t p U5G.y9yw-c9L
[attach]148229[/attach]~'X8{E)~0h*CLH

@0{3Qo$u,E7x&T 因为是多次运行，所以每次病毒新创建的文件都不一样。对于这样的病毒，如果给他留一个启动条件，那么即使我们免疫或者删除了其它的项，他仍然会全部自动恢复。所以，要在重启前查杀干净。至少他的启动项要全部清除。
lFA5B,JBY/S
'}#["\T9Kn 通过进程来看，病毒调用了 sc.exe  ，用此工具创建了系统服务。
2\\
i+F+[p/rx-|
`;Z 调用了 reg.exe，通过此工具破坏了安全模式，使电脑无法进入安全模式。
:Ko;r\tL#c
_
P K#V4y.`2XS(y 文件监控如下：
T$u;~bHUB 对 windows system32 drivers目录监控结果，创建了如下文件：
E C`7G6VuL%S;b] }.v(z d#fun(U,y

+JKA+I!{A C:\windows\1DASC4YLLI7.exe
O/C1C&WD&?3`#oR^ C:\windows\36B19.exe
t~+Yj6`? C:\windows\6GEO4.exe&EM M4g!k
C:\windows\7M4RO.exe
QO*xX)o w C:\windows\9Z8IRB69.exe
D@c
?5\CCn4o C:\windows\AEQ5W.exe(pkFrQ
C:\windows\AJ56OT8FRRSZ.exe'G\,T6r(mo]
C:\windows\AMDYSR.exe
l&X`+E'k,QjF C:\windows\BMDMRSKQI02.exe3k0Qb.Ztt
C:\windows\DTL54ZI3.exe
}(}&B(f.E+TMt C:\windows\EDYY31K4.exe
HJ~Hr y[ H0Ez&c C:\windows\F19SBGPGS9WX.exe \y)\s/[qp
C:\windows\FIHNBR7P108.exe_:B.gfyL)Q
C:\windows\KRC3V.exe Q,\KP a
C:\windows\LRMY445H2AG0.exeV;WH5Y9} z
C:\windows\LY74G8.exe
N tTS)NYe C:\windows\NEELGJH9.exe
Ld+_TaxS|B C:\windows\SWII23VQFFG.exe1[+H!G} hJW$cCZ-e
C:\windows\system32\1HTIKH1B1FTK.exeo's&R)l(| O!O#Ve*^
C:\windows\system32\3G6DG.exel-h fq'Hd A
C:\windows\system32\C4C82X.exe tD1E7f|]
C:\windows\system32\I24WEV68MKZC.exem Bhe-Q2MC[
C:\windows\system32\PTBFAT.exef]a;}6dM
C:\windows\system32\QVZ4ZI8K04.exeE8f3uRF L
C:\windows\system32\VKYYYW.exe
7M"O'e/y s ai$QW4e C:\windows\V3KVWFE06.exe3ax}ePr2`$[;u
C:\windows\Y4Z9I93F.exe
pzBF-]9t{MqC C:\windows\Z5EQAR.exe!vP}:qr6h~

Vdgo^!\*}l 对注册表启动项监控没有发现创建启动项。7E9rVZB$dUe

:e)Yj;jI
Jo 从进程里看发现病毒曾经往开始－－程序－－启动里写批处理。但是用 doit  扫描没有发现启动项。于是打开{ @2~i1X1VT
C:\Documents and Settings\All Users\「开始」菜单\程序\启动W]-?;r-~
TPn8z
此目录下没有创建启动项：C:\Documents and Settings\这里替换您的当前用户名\「开始」菜单\程序\启动
d*~-v2pc5[qC ~ 发现里面有多个具有：系统只读隐藏的IE快捷方式，如下图。'Ykp djm
)p5jp{(x%L3FF
[attach]148230[/attach]
U3@`/P,YZ5?"d%Q iq1@ B1`$xD
[attach]148231[/attach]
'VY1IT9E9n#\Tk m
X-o'w:JK*_6j
~x p -xc$APH4C(I3Ff
其实他们不是IE的快捷方式，指向 windows 目录下的病毒文件。
8wlBZ0o0U r!E%V&b5n2h 随便拿一个看看其属性：U6L6E+GH+X

:x4|f7M"v1An [attach]148232[/attach],Jg7~Z}2\ f

pz8D}[Co AN*yz~2@/\I
双击任意一个快捷方式，会产生一个批处理，还没等我看看它是什么东西就忽然不见了。
QUk"]'[#j N
K5r0m Bv dke~ 可是他忽略了如果启动文件夹里文件是隐藏的，那它就不能启动。嘿嘿。所以doit也把他们忽略了。(*^__^*)R|2z`g(@u4a5A
A'}RJ5T4PZ%rO
该病毒没有进行文件映像支持。
e |X LB(t#~;l6]-Q 1{"G Nz/]A}
对系统服务监控发现创建了许多服务，他们是：+Q6d&P HU;OWc

l-gx
Vn1{ }:i,BnTlGy|7L

1\tC9Q6@UED 服务显示名：0FA9LRXW4
5_ g\ qh Ww 服务名：AEQ5W
B9bd7p8dPO 服务描述：控最时面断功发更的生潜习大找地余广员排示灵底
$I.V z4[1yj 可执行文件路径：C:\WINDOWS\AEQ5W.exe -X9V5R
k]8c*JS| 启动方式：自动
0ZRO(RH)|/_ V8dGk 状态：!qs6j5{Bx

&}7oX^;` k
^,MIC 服务显示名：4AUXQ
%y.v8gq }H"nJ 服务名：I24WEV68MKZC [ `_v~h&pu
服务描述：务一和关动此了务帮续产售企使帐以人计驱润的场业选市S9y7US;{ F
可执行文件路径：C:\WINDOWS\system32\I24WEV68MKZC.exe -FFXRJh Vk4_,FH
启动方式：自动:V oIrY;M1?8Y4aa
状态：
7EB,w K] Xr'd N
-P6t3na!l6X{n 服务显示名：4Y13B518PW;v.ymnNT:po
服务名：VKYYYW6I N FU;Ly.f
A l3t)n
服务描述：刚些不系系育产因功务瓶还心查始的内个市供据量在赚强择按好免法时式
4Ak W+J8WnF4N%j 可执行文件路径：C:\WINDOWS\system32\VKYYYW.exe -MZGD4O
4]'B8w&F
t 启动方式：自动.u6SUe;|$G)U:r1o
状态：
SHR(^0@-p n4l{4j:B8eQu"b
服务显示名：A9C28IUW79D5bl Z'f-W:Fn7Z.G
服务名：AJ56OT8FRRSZ;Fc#vE%Wp/bo;Q5D
服务描述：产全获算度行企到企通册择度提界中找?;k+oEj TQ
可执行文件路径：C:\WINDOWS\AJ56OT8FRRSZ.exe -M3KQX6h;ge;Ac(m2l
启动方式：自动ag/d? @m8y
状态：
x&cY,M X Jk
e0^G&K4E-p 服务显示名：D5XAJZ67Ki}3Jb,\
服务名：Z5EQAR
e8m6V6EO(iz b7e+D%L] 服务描述：搜访性业最群多看询和况市营一索可产
X\JV;H
s7sxc3q 可执行文件路径：C:\WINDOWS\Z5EQAR.exe -OUSR7RT-H]Y[X
启动方式：自动
&{1`1@z(`Re2l,N 状态：1hd/@x)s#q V"]
_
u5HZ3V7j
A0{#sy0U*o
服务显示名：GF5BW5-h
o[c$w I&R
服务名：1DASC4YLLI7
F@a\s)L&FzK 服务描述：回心大企潜页里页络看己如网要广业跳生无上邮内于区讯冲产还的商电都
1] Xg [RaV~{9p)t8D
f 可执行文件路径：C:\WINDOWS\1DASC4YLLI7.exe -IUWSP8V
K#DW](m4?!` 启动方式：自动
#ZX4l:h`f0e,X/siw 状态：
,KD @ ] ak
XI.VP5s)^*F"m 服务显示名：JFUO0OXFZNY
v&m0cE[.[){{{)|;@ 服务名：1HTIKH1B1FTK
v9S(by_q+X!p9g 服务描述：络户付再大品构域注网硬名于品帐分客求机价家额的颈易产存理员帐的名升eAdc&F
可执行文件路径：C:\WINDOWS\system32\1HTIKH1B1FTK.exe -VFKD3KA7IU7Yz,qaTe \f-rq*C
启动方式：自动
&ro.B'E%H6n,u)xw 状态： O9mD
`0Pi
s6VyKGd!_
服务显示名：K3RO02LVX&q
j9Bp4a,sG
服务名：QVZ4ZI8K04
;B7e^6An 服务描述：键企域的对能户下和的开得这小磁费机所搜价名用通的到实机 h%G$R Hs#tMa
可执行文件路径：C:\WINDOWS\system32\QVZ4ZI8K04.exe -KE08SPVA6
6Ez Unl/S.K|c 启动方式：自动d){-~;b&B%Ao'?
状态：'CS'z Swu
o(p)_m3w-?
服务显示名：N2W0MWKCB6
&P5N"_%w,mxQ 服务名：PTBFAT/DNkA0G w`kN OZ4b
服务描述：结心己度对刚构费户用业次法强客中网问销的络入业调价与v p#c)N2_
k)b
可执行文件路径：C:\WINDOWS\system32\PTBFAT.exe -VEQ7G8X4JSF
a AQ:`+r0Fqb 启动方式：自动

}_T"E/L 状态：
H2oBi^G0|,Q d$d OcLx
服务显示名：NEXNB
4KA c@
jnT2g 服务名：3G6DG
H)B3xv:@T:H8r 服务描述：会到以庭打互散益供上联浪想在调额先的词中的务帐投析都竞为大内键新京户的终效测报0OOk4m7Qk!r
可执行文件路径：C:\WINDOWS\system32\3G6DG.exe -9UGBNSM
5W!a$?8v!u*]](X;[l[e 启动方式：自动
],\+p3S.z
s}~s 状态：
4@K X%kVN [?N2n:r 3k4\P\kSs b
服务显示名：OJTATBIFF04WQJbFR5~
服务名：LY74G8)Klx,}q
服务描述：度不生务功看时沟台数于示
S3f3l,L#n-A&z 可执行文件路径：C:\WINDOWS\LY74G8.exe -FAGAXGXYETY7Wq V1J{/wH} r
启动方式：自动
@7^4qEhKY+~aZ;e!E!^$h r 状态：'gxE]3pS,[
U~^ PA
服务显示名：PAYN9B3YHMOBv^ |4p;n8j Ut+s
服务名：C4C82Xg^O\{ V`
服务描述：来派网对盘用破得查润更由真求页架wss#K9dpA
可执行文件路径：C:\WINDOWS\system32\C4C82X.exe -14HE5TGVAZ6xB#g i_$^
启动方式：自动 x-c8K Ay)Qz'G2?{
状态：5j_8g1Em1eT8c_|

B ]6jRK(v db 服务显示名：Y6U4LEIE

n ^K*Y^M1a'K,G 服务名：F19SBGPGS9WX
f9VB'`q 服务描述：网庞刚百销亿达牌捉育选前键析来自名生发学纷关入实申方就报存大查专信是能接绍供
w#C,`X8Z H'Z~ 可执行文件路径：C:\WINDOWS\F19SBGPGS9WX.exe -4LTXT6C9
7~P+I;A6K
C}} n 启动方式：自动
&}A s {$U&Eyf }/i;q 状态：5H8x)G4|2`;t-n3Q!U

r F-j8{XU^N 服务显示名：ZTPK9JVPS0 Z%J*C#@7O3` w
服务名：9Z8IRB69
/|7`.w9f Is,j w 服务描述：推效半民最创场培在务索广留产一索颈知统刚掘上免推面构和额解显种
TAW)P%GPY 可执行文件路径：C:\WINDOWS\9Z8IRB69.exe -HX7I51KS
yln B"?:u9eZ 启动方式：自动
8^~?6z t` 状态：.t HxL;i&X

,n6[`q^%B:lQ
4?!E2E%x {$O#K _ T T&Z 5F9UXo8Rh"j,m
360安全卫士打不开，但进程中有360.可见可能是窗口被隐藏了。。2O%s HX^P
9i]1Np@/uFFC
清除方法也是很简单的吧？把服务删除，服务指向的文件删除。那些隐藏的文件全部删除。c:\windows 下的那些文件也全是隐藏文件。
0]9X1nQ r@ H"W4np
z.J c(B.m-KQL(q [attach]148233[/attach]K}U9Ek
D!L*k}&A4t%}&h'[
LDu%v?7{ c1?
V;a{
那些不是IE文件，那些也不是压缩文件。全部删除。2个BMP文件就不要删了。 C ^2q#F+p,G
n$t!S4b1Sh
_GE-A.U m^u
9j0e
SO b"L
综合一下： MmN&r'Qs#sz:z1A8a(H

o \{ Y4P:O3J 他的启动方式为纯服务启动，虽然启动文件夹里有病毒，但因为他是隐藏文件，所以无法启动。删除病毒服务后他们就无法启动了。然后去windows、system32下去找那个扩展名为exe，图标为IE和WINRAR文件的病毒文件删除即可。!M3[E
jUh(w$J'X6W

XXSiA 这个是不能用免疫来解决病毒的。当然不是说免疫不行，想一下如果我们把病毒文件全部免疫了，他的服务再多也是无法启动病毒的，因为病毒已经被改名，并且进程中并没有监控他的服务指向的文件有没有被修改。
N4fqUJfzB
`/d{:n b qN,p0s 嗯。差不多就这些了吧。如果有不明白的可以回贴问一下。

幽游三少 发表于 2008-7-3 02:15

注意之所以有这么多服务可能是我运行它次数太多了。~~~
Sz
t2{n-SU?
T Y`$K]y
N-E 补充一点该病毒没有进行进程注入。

cosco 发表于 2008-7-3 02:22

哈哈，咋不拿咱的吧做个样本分析呢~~yangcong14%

新芯 发表于 2008-7-3 06:52

yangcong25%

幽游三少 发表于 2008-8-6 02:14

回复 3# cosco 的帖子

我们吧没有病毒样本哇.每天找病毒怪麻烦.

查看完整版本: 论坛提交的病毒样本技术分析