瑞星卡卡安全论坛

本人近日截获了一个仿造杀毒软件的病毒。这个病毒简直是太嚣张了。
今天我就来分析。分析的不好还请指教
1认识病毒样本
瑞星09查杀结果

接下来我们来运行

注意运行时我开着EQ和瑞星的主防还是开的最高级。
双击后eq和瑞星均无提示然后出现了画面
大家仔细的看图这个程序说我的电脑有病毒。而且仔细看他包的都是正常文件啊。
居然还要我付款。不管是更新还是清除都要注册码的。说白了就是要钱。
大家不要上当啊

别的分析见4楼
7楼
11楼和12楼
详细分析完成用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0(Compatible Mozilla/4.0(Compatible-EmbeddedWB 14.59 http://bsalsa.com/ EmbeddedWB- 14.59  from: http://bsalsa.com/ ; EmbeddedWB 14.52 from: http://www.bsalsa.com/ EmbeddedWB 14.52; 360SE)

呵呵
又是该类病毒

是否SSM/tiny跟踪过病毒行为？


病毒文件可疑文件交流区发个

谢谢楼主的提醒，上传样本文件到可以文件交流区，看一下

在发几个图
大家对比比
xp的安全中心

病毒


大家不要上当啊

:default3: :default3:

怎么没行为分析:default3: :default3: :default3:

不是我不分析是他根本就没行为

你们看瑞星和EQ的监控驱动都在的

我用沙盘运行一下是结果

你们自己看根本没什么危害就是骗钱的。
还卖那贵打死我也不买

不过还有个文件
这个可有危害了

马上开始行为分析

附件查下

看看SSDT里瑞星的hookHEL.sys还在不

附件: rku.rar

英文的看不懂

以前曾见过这里的毒
就是联网要求升级然后让你付费

http://av2010.net/
我在主页上下载了另一个程序这个才是他的真面目
运行后
发现试图修改hosts

并在hosts上加上了以下内容

然后创建了C:\Windows\System32\wingamma.exe这个文件

接着开始改注册表了
进程路径:C:\Documents and Settings\Administrator\桌面\AV2010Installer.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:Windows Gamma Display


然后狐狸马脚出来了
2008-10-19 14:58:52        应用程序保护(结束/挂起进程) 
进程路径:C:\Program Files\Rising\Rav\RavMonD.exe
目标进程:C:\Documents and Settings\Administrator\桌面\AV2010Installer.exe
呵呵开始结束瑞星了
不过很有趣。瑞星没被干掉。就连自我保护的气泡也没有

再后来出现了一系列金山的东西，不知是不是病毒创建这个就跳过好了
后来他试图起动先前的文件

接着又开始改系统了

接着上楼


就到这里。在后来的时间就没下文了
在回过头来看桌面已经出现了他的快捷方式
而且创建了程序文件

到此彻底结束了

呵呵

分析的不错

病毒
还加了BHO

这就是广告

伪装成杀软，也太厉害了吧，看来还是得及时进行漏洞扫描与修复，安装最新系统补丁，才能有效地避免病毒通过系统漏洞入侵电脑啊。

钓鱼伪杀毒。。。厄，外来的流氓