几个病毒样本
某天重装了系统,故意没打补丁,上网上转了一圈,结果下来一查,中了N多木鱼与病毒,手工查杀一晚上才清除干净,感叹世风日下,木马病毒如此猖狂,附上所中部分样本,供大家研究1、征途网游木马
运行后复制自身到临时目录:
%temp%\upxdnd.exe
释放dll注入进程:
%temp%\upxdnd.dll
创建启动项:
"upxdnd"="%temp%\upxdnd.exe"
监视卡巴斯基(Kaspersky)警报对话框发送“允许”命令;监视瑞星注册表监控提示发送“跳过”命令
[ 本帖最后由 hnxyy 于 2007-3-22 22:12 编辑 ] 2、下载者
双进程保护,注入iexplorer
写入:
c:\winnt\wuaucll.exe
c:\winnt\system32\driver.exe
禁止使用regedit.exe
写注册表,强制删除不了
Shell Explorer.exe wuaucll.exe
hlm\software\Microsoft\windows NT\CurrentVersion\WinLogon
关键exe
.exe wuaucll.exe "%1: %* hkey_classes_root\exefile\shell\open\command 3、盗取QQ木马system2.jmp SystemKb.sys
病毒名称:Trojan-PSW.Win32.QQPass.vk
技术分析
木马运行后产生病毒文件:
%ProgramFiles%\Internet Explorer\PLUGINS\system2.jmp
%ProgramFiles%\Internet Explorer\PLUGINS\SystemKb.sys
创建ShellExecuteHooks:
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys>
清除步骤
1. 删除病毒创建的ShellExecuteHooks项:
<{754FB7D8-B8FE-4810-B363-A788CD060F1F}><C:\Program Files\Internet Explorer\PLUGINS\SystemKb.sys>
2. 重新启动计算机
3. 删除文件:
c:\ProgramFiles\Internet Explorer\PLUGINS\system2.jmp
c:\ProgramFiles\Internet Explorer\PLUGINS\SystemKb.sys
4、病毒清除完毕。
注:system2.jmp SystemKb.sys为隐藏文件
[ 本帖最后由 hnxyy 于 2007-3-22 22:24 编辑 ] 4、熊猫样本合集 5、威金,危害就不用说了
病毒描述:
该病毒运行后,释放若干病毒文件,并会大量感染.exe文件。修改注册表,添加启动项键值,以达到开机启动病毒的目的。病毒试图连接某网站下载文件,但链接已失效。当用户运行受感染的.exe文件后,病毒会在%Windows%目录下生成rundl132.exe文件,图标据用户当前桌面图标随机生成。插入vDll.dll线程到explore.exe进程中,以隐藏病毒体。
行为分析:
1、释放下列副本与文件
%Windir%\ MH_FILE\ MH_DLL.dll Trojan-PSW.Win32.WOW.ey
%Windir%\MickNew\MickNew.dll
%Windir%\TODAYZTKING\TODAYZTKING.DLL
%Windir%\_desktop.ini
%Windir%\1.txt
%Program Files%\_desktop.ini
%Windir%\0Sy.exe
%Windir%\1Sy.exe Trojan-PSW.Win32.WOW.ek
%Windir%\2Sy.exe Trojan-PSW.Win32.WOW.ek
%Windir%\Logo1_.exe Worm.Win32.Viking.n
%Windir%\rundl132.exe Worm.Win32.Viking.n
%桌面%vDll.dll Worm.Win32.Viking.n
2、新建注册表键值:
在此键值下新建若干病毒释放文件相关键值
HKCU\Software\Microsoft\Windows NT\CurrentVersion\Windows
键值:字符串:”Load”= “C:\WINDOWS\rundl132.exe”
3、连接下列地址,试图下载文件
http://www.****.com(61.152.**.22)//tools/zt.exe
http://www.****.com(61.152.**.22//tools/wow.txt
4、尝试执行下列命令
net stop "kingsoft antivirus service" 6、刷广告插件
一打开Explorer注入iexplore.dat,iexplore.sys 进程,比较难清楚
调用IE打开:
http://www.goodmv.c
http://www.popdm.cn
等页面
执行教本:
wscript.exe "C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\svchost.vbs"
感染Internet Explorer目录,具备进程保护和复制功能
下载一堆垃圾木马文件,不停刷新IE 其它还有很多,不再一一上传了,除了熊猫的样本全是本次上网中的,主要原因就是未打补丁浏览一些网页自动下载的,包括一些流量很大的网站都被人利用IE和系统漏洞植入木马 非常感謝你提共的樣本! 測試一下有10 個樣本沒有被掃到! 已回報:)
[ 本帖最后由 domino 于 2007-3-22 23:28 编辑 ] 汗一个,都被你上报了~~~
刚才机器差点完蛋,发现瑞星在viking面前根本不堪一击,开着瑞星监控,运行了一个被感染的病毒文件,提示有程序写注册表,还没来及点拒绝,嘎巴一声,连报错误Ravmon错误,瑞星已经被奸,系统崩溃重启,赶快进安全模式,用毒霸和江民的viking专杀扫描搞定,重启机器正常,虚惊一场,系统差点又报废~~ 原帖由 hnxyy 于 2007-3-23 00:04 发表
汗一个,都被你上报了~~~
刚才机器差点完蛋,发现瑞星在viking面前根本不堪一击,开着瑞星监控,运行了一个被感染的病毒文件,提示有程序写注册表,还没来及点拒绝,嘎巴一声,连报错误Ravmon错误,瑞星已经被奸 ...
記得沒錯的話! 我上次貼過一篇文章 有關於 威金 和 熊貓- 殺毒軟件的即時防禦測試文章! 殺毒軟件還是被感染了!!
我是在還原系統的保護下! 裝虛擬機(記住要關閉共享文件)下載測試掃毒!~ 呵...早就先做好準備!以防萬一!:D: 哇哈哈,楼主真是强悍啊,去买彩票一定中100万啊。裸奔一圈就拉了那么多粉丝,强!!! 支持楼主
这些样本不错 hnxyy 有时间可以写几篇教程
此主题我先加入精华吧
另外,编辑了你的部分帖子,去掉链接自动解析,设置样本附件为10下载权限
尽量减少不懂中文者的误运行 感谢楼主提供!正需要 继续集中放呀.......