瑞星卡卡安全论坛

样本来自卡饭。

运行此样本后，要耐心等待一段时间，木马才能全部下来。

一、木马运行后，SRENG日志可以见到下列异常项目：

启动项目
注册表
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
    <ravshell><C:\Progra~1\Eset\1explore.exe>  [N/A]
    <uvf8csw62w04tu5><C:\DOCUME~1\baohelin\LOCALS~1\Temp\c0nime.exe>  [N/A]
    <1MJPMIG__><C:\windows\IMEINPUTS.EXE>  [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <winform><C:\windows\winform.exe>  [N/A]
    <mppdss><C:\windows\mppdss.exe>  [N/A]
    <upxdnd><C:\windows\upxdnd.exe>  [N/A]
    <Kvsc3><C:\windows\Kvsc3.exe>  [N/A]
    <msccrt><C:\windows\msccrt.exe>  [N/A]
    <cmdbcs><C:\windows\cmdbcs.exe>  [N/A]
    <jnavavm><C:\windows\jnavavm.exe>  [N/A]
    <AVPSrv><C:\windows\AVPSrv.exe>  [N/A]
==================================
驱动程序
[Netgroup Packet Filter / NPF][Running/Manual Start]
  <system32\drivers\npf.sys><CACE Technologies>
==================================
正在运行的进程
[PID: 864][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\jnavavm.dll]  [N/A, N/A]
[PID: 1992][C:\Program Files\Rising\Rav\RavTask.exe]  [Beijing Rising Technology Co., Ltd., 19, 0, 0, 9]   
    [C:\windows\system32\jnavavm.dll]  [N/A, N/A]
[PID: 492][C:\windows\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)] 
    [C:\windows\system32\jnavavm.dll]  [N/A, N/A]
[PID: 1084][C:\Program Files\Internet Download Manager\IDMan.exe]  [Internet Download Manager Corp., Tonec Inc. , 5, 0, 0, 0] 
    [C:\windows\system32\jnavavm.dll]  [N/A, N/A]
[PID: 956][C:\Program Files\Tiny Firewall Pro\amon.exe]  [Computer Associates International, Inc., 6.5.3.2] 
    [C:\windows\system32\jnavavm.dll]  [N/A, N/A]
[PID: 3668][C:\Program Files\Opera\Opera.exe]  [Opera Software, 8771] 
    [C:\windows\system32\jnavavm.dll]  [N/A, N/A]
[PID: 1312][C:\Program Files\SREng2\SREng.exe]  [Smallfrogs Studio, 2.3.13.690] 
    [C:\windows\system32\jnavavm.dll]  [N/A, N/A]
[PID: 2764][C:\Program Files\Tiny Firewall Pro\cfgtool.exe]  [Computer Associates International, Inc., 6.0.0.52] 
    [C:\windows\system32\jnavavm.dll]  [N/A, N/A]
[PID: 1924][C:\Program Files\Tiny Firewall Pro\tralogan.exe]  [Computer Associates International, Inc., 6.0.0.17]   
    [C:\windows\system32\jnavavm.dll]  [N/A, N/A]
[PID: 3704][C:\windows\IMEINPUTS.EXE]  [N/A, N/A]   
[PID: 2948][C:\windows\jnavavm.exe]  [N/A, N/A] 
    [C:\windows\system32\jnavavm.dll]  [N/A, N/A]
[PID: 3744][C:\windows\System32\alg32.exe]  [N/A, N/A] 
[PID: 1000][C:\DOCUME~1\baohelin\LOCALS~1\Temp\SPOOLVS.exe]  [N/A, N/A] 
[PID: 2092][C:\Progra~1\Eset\1explore.exe]  [N/A, N/A] 
    [C:\windows\system32\jnavavm.dll]  [N/A, N/A]
==================================
Winsock 提供者
MSAFD Tcpip [TCP/IP]
    C:\windows\system32\Winhttps.dll(N/A, N/A)
MT-TcpFilter
    C:\windows\system32\Winhttps.dll(N/A, N/A)
=================================

SRENG日志看不到木马添加的下面两个注册表项：

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{63202121-F04D-11cf-64CD-33FF5FE1CF20}
"StubPath"="C:\\windows\\system32\\nwizAsktao.exe"
HKEY_CLASSES_ROOT\ferefile


二、用IceSword的手工杀毒流程：

1、禁止进程创建，结束病毒进程（见SRENG日志）。
2、强制卸除正常进程中的病毒模块C:\windows\system32\jnavavm.dll。
3、删除病毒文件（见附图）。
4、删除木马添加的注册表项（见前述）。
5、修复Winsock



附件: 1558472007520150925.jpg

这个样本我送了一份给瑞星，不知道可以查杀了没有

学习。。。

学习了. 下次可以帮别的人分析处理了.  多谢版主!

貌似最近都流行这种下载型的！

周六周日都有紧急更新，应该可以搞定了，!

嗯……知道了！

貌似在这个问题上,老猫你晚了啊

SREng看不到的注册表项，怎么办呢？
Autoruns可以看到么？

够意思,    在发我个 样本吧    hou2298@yahoo.com.cn  对了  卡饭官方是什么,也发我邮箱里吧   谢了  baohe

驱动程序
[Netgroup Packet Filter / NPF][Running/Manual Start]
<system32\drivers\npf.sys><CACE Technologies>
猫叔你好。对上面的这个驱动程序，我有点小疑问
这个确信是病毒文件吗？
我觉得这个跟网络客户认证端有一定的联系，system32\drivers\npf.sys文件会有初始化网络端口的作用。
不知道是不是这样。还请猫叔解释一下。
先谢了。
然后这个样本如果有的话，发个给我哈
taozi21@sohu.com
在卡卡来了三个月，学到了很多，从零起步到现在分析病毒。很感谢猫叔的帮助！谢谢

晕
怎么不是在置顶上啦
猫叔顶上去

学习了...