瑞星卡卡安全论坛

调用服务管理器(services进程) 在注册表中创建服务项目指向它释放的DLL文件  而且该DLL注入了多个系统进程瑞星都没反应:default3:    主要是注入svchost中然后挂钩子盗取资料(其它进程也注了例如explorer）  我木马编辑器还是编了防注入的都被它注进去了  老子无语了.........    各位来看看

附件: ms.rar (2009-2-4 12:48:56, 62.59 K)
该附件被下载次数 672

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com) )

绝对的病毒 我测了半天的

杂子没人帮分析下:default4:    高手都哪去了?

的确是病毒，在c:/windows/system32中生成ykzkjy.dll和ykzkjy.key文件，并新增了系统副ovtjkk,瑞星不报，360有动作提示但无法删除，利用XDELLBOX也无法删除

等会附上本机运行前后的扫描日志

Backdoor.Win32.PcClient
后门病毒

那个DLL文件是随机名 不固定的 而且是调用services进程在注册表添加服务项的 一般人看了是系统进程很容易就放过的

能否说一下它有哪些动作  由于是调用services改的注册表 我编规则对它都没用  因为不是它添加的服务

要分析动作的话用HIPS一步一步放行就知道了:default3:

而且编辑器似乎不能监控创建注册表项 只能监控改动

“而且是调用services进程在注册表添加服务项的”
services进程本身就是干这个的
注册服务 都是由他来做  你运行个别的病毒试试  那是services本身的职责~~

那么简单就好了 我已经说了 它的DLL注入了系统进程瑞星没反应  所以光看HIPS拦的不够

文件信息
文件名称 :  ms.exe
文件大小 :  73243 byte
文件类型 :  PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 :  67dc62418c5554035c3158095fc79c75
SHA1 :  5b0a4eb27b0b513f273041a28b5c908152a3d81b

一般来说

不容易有人能将这病毒的进行反汇编告诉你它要做的详细事的

至少我不会

估计会的人也没时间详细反汇编出来告诉你

我只是想知道这DLL 怎么注入进去了瑞星还没反应的  系统进程保护摆着看的..........:default2:    卡卡进程管理还都是安全进程

问题就是怎么注入的那过程，可能需要反汇编才能知道它注入时用的方式

不是空运行运行就能知道的。:default3:

这里附上运行前后的扫描日志，还有这几个行为防御规则有提示，点拒绝但卡机了，360有提示增加启动项、服务项（注册表位置：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ovtjkk[ovtjkk]内容：C:\Windows\System32\ykzkjy.dll)附上病毒释放的文件，剩下的高手们解决下，现在系统比较慢，我是局域网有ARP欺骗

附件: 病毒运行前sreng2得扫描日志.log

附件: 病毒运行前清理助手日志.TXT

附件: 病毒运行后sreng2得扫描日志.log

附件: 行为防御动作.rar

附件: ykzkjy.rar

所有添加服务的动作 都是调用services.exe的 这不是该病毒的“特色”
标准的服务创建过程 是先调用OpenSCManagerA函数打开服务控制器也就是services.exe
之后 调用CreateService函数 创建服务
这个过程就是由services.exe完成的
下面是这个病毒 的创建服务时候的代码

1000A74F    68 3F000F00    push    0F003F
1000A754    6A 00          push    0
1000A756    6A 00          push    0
1000A758    FF15 58200110  call    dword ptr [10012058]            ; ADVAPI32.OpenSCManagerA; 打开服务控制器
1000A75E    8985 F8FEFFFF  mov    dword ptr [ebp-108], eax
1000A764    83BD F8FEFFFF 0>cmp    dword ptr [ebp-108], 0
1000A76B    75 08          jnz    short 1000A775
1000A76D    83C8 FF        or      eax, FFFFFFFF
1000A770    E9 AD000000    jmp    1000A822
1000A775    C685 FCFEFFFF 0>mov    byte ptr [ebp-104], 0
1000A77C    B9 40000000    mov    ecx, 40
1000A781    33C0            xor    eax, eax
1000A783    8DBD FDFEFFFF  lea    edi, dword ptr [ebp-103]
1000A789    F3:AB          rep    stos dword ptr es:[edi]
1000A78B    66:AB          stos    word ptr es:[edi]
1000A78D    AA              stos    byte ptr es:[edi]
1000A78E    68 C8000000    push    0C8
1000A793    8D85 FCFEFFFF  lea    eax, dword ptr [ebp-104]
1000A799    50              push    eax
1000A79A    FF15 E0210110  call    dword ptr [100121E0]            ; kernel32.GetSystemDirectoryA
1000A7A0    68 50370110    push    10013750                        ; ASCII "\svchost.exe -k "
1000A7A5    8D8D FCFEFFFF  lea    ecx, dword ptr [ebp-104]
1000A7AB    51              push    ecx
1000A7AC    FF15 00220110  call    dword ptr [10012200]            ; kernel32.lstrcatA
1000A7B2    8B55 08        mov    edx, dword ptr [ebp+8]
1000A7B5    52              push    edx
1000A7B6    8D85 FCFEFFFF  lea    eax, dword ptr [ebp-104]
1000A7BC    50              push    eax
1000A7BD    FF15 00220110  call    dword ptr [10012200]            ; kernel32.lstrcatA  ；拼串的过程
1000A7C3    6A 00          push    0
1000A7C5    6A 00          push    0
1000A7C7    6A 00          push    0
1000A7C9    6A 00          push    0
1000A7CB    6A 00          push    0
1000A7CD    8D8D FCFEFFFF  lea    ecx, dword ptr [ebp-104]
1000A7D3    51              push    ecx
1000A7D4    6A 01          push    1
1000A7D6    6A 02          push    2
1000A7D8    68 10010000    push    110
1000A7DD    68 FF010F00    push    0F01FF
1000A7E2    8B55 0C        mov    edx, dword ptr [ebp+C]
1000A7E5    52              push    edx
1000A7E6    8B45 08        mov    eax, dword ptr [ebp+8]
1000A7E9    50              push    eax
1000A7EA    8B8D F8FEFFFF  mov    ecx, dword ptr [ebp-108]
1000A7F0    51              push    ecx
1000A7F1    FF15 04200110  call    dword ptr [10012004]            ; ADVAPI32.CreateServiceA; 创建一个以svchost.exe为宿主的进程

释放文件：
C:\windows\system32\00053d8a.ini（随机名）
C:\windows\system32\bzdohe.dll（随机名）

改写注册表：
在HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SvcHost\分支添加：ovtjkk
在HKLM\System\CurrentControlSet\Services\分支添加： ovtjkk。而此ovtjkk\Parameters\\ServiceDll指向C:\windows\system32\bzdohe.dll
开启一个svchost.exe进程，那个病毒dll就活了。

病毒文件及其注册表项均可用IceSword删除。

那么从这里看出来编辑注册表规则对它没有效果 
  而且我编了一条防注入svchost  但它还是注入进去了  不理解中...............
团队给条漂亮的规则把它搞死:default6:

C:\windows\system32\00053d8a.ini（随机名）

这个是固定名字 不是随机的

在HKLM\System\CurrentControlSet\Services\分支添加： ovtjkk。而此ovtjkk\Parameters\\ServiceDll指向C:\windows\system32\bzdohe.dll
开启一个svchost.exe进程，那个病毒dll就活了。

根据这样的话  这个DLL是因为注册表的改写直接加载的?而不是注入的

但是病毒是否后门会启动一个svchost??  如果是,它还是直接启动了并跳过了我的规则

看了阳光的

就知道原因了

因为过程就是由services.exe完成的

所以瑞星杀毒软件是难以判断的

因为它默认白名单那里是自动放过签名程序的

而系统的东西它都是默认可以做事的

所以你靠瑞星的监控自然发现不了了

你取消自动放过签名程序试试

要知道系统的东西必须可以任意做事，如果不能，就要死定了

所以任何监控都难以达到完美的

唯一最好的办法，是一开始就不让那病毒程序运行

一旦运行开始执行什么，那么就有可能阻止不了

会增加一个svchost进程
服务名称：ovtjkk 显示名称：ovtjkk
描述：Microsoft .NET Framework TPM
可执行文件路径C:\WINDOWS\system32\svchost.exe -k ovtjkk
启动类型自动，服务状态已启动
启动类型无法更改，无法停止服务，这是系统服务里查到的

放过签名程序 我本来就是取消了的 主要是它调用服务管理器加载服务  一般看了就允许了 如果我不是知道是测病毒 估计也被它忽悠;了

如果我没记错的话  木马调用服务管理器不是新花样  很早就有了

那个ms.exe只是注册了个服务 没干别的 其他的一些注入的动作是启动那个服务后 由svchost.exe这个宿主做的  注入动作使用的函数应该是SetWindowsHookEx
你试试用 窗口挂钩 那个API
窗口挂钩 主文件类型 数值等于2

说到点子上了  你看看短消息 我问了你什么:default6:

和很早就有没什么关系

而是任何安全软件不能将和正常软件行为一样的程序行为都拿来提示

那样用户会气死的

这付费的软件和免费的360类软件不一样

360类软件疯狂提示正常行为，用户也急不出什么名堂的

但是瑞星软件如果默认提示这类正常软件可能也有的程序行为的话

那就死定了