瑞星卡卡安全论坛

一个挂马网站上的，第一次virscan.org上扫描只有5家扫出来了。。。
下面的分析如果有遗漏的，大家帮指出来哈~


文件信息：

文件名称：activex.exe
编写语言：VB
大小：44,560 byte
MD5：83f5e5ed7d6e5987fbef7b348b771483
病毒名：Kaspersky：N/A
            Rising：Trojan.Spy.Win32.Bancos.fdk

下载地址：hxxp://yes9821.3322.org/web/activex.exe


行为：
向system32目录下释放activex.exe：

引用:

创建文件：
进程路径:C:\Documents and Settings\Administrator\桌面\activex.exe
文件路径:C:\WINDOWS\system32\activex.exe

删除自身：

引用:

删除文件：
进程路径:C:\Documents and Settings\Administrator\桌面\activex.exe
文件路径:C:\Documents and Settings\Administrator\桌面\activex.exe

向%system32\wbem下创建文件：

引用:

创建文件 ：
进程路径:C:\WINDOWS\system32\activex.exe
文件路径:C:\WINDOWS\system32\wbem\fonts.exe

向鼠标指针文件夹Cursors释放文件：

引用:

创建文件 ：
进程路径:C:\WINDOWS\system32\activex.exe
文件路径:C:\WINDOWS\Cursors\beifen.exe

创建文件：
进程路径:C:\WINDOWS\system32\activex.exe
文件路径:C:\WINDOWS\Cursors\qqwx.exe

向system32目录下释放文件：

引用:

创建文件 ：
进程路径:C:\WINDOWS\system32\activex.exe
文件路径:C:\WINDOWS\system32\lssas.exe

向注册表写入服务项：

引用:

创建注册表值：
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft
注册表名称:[Key]


创建注册表值：
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft
注册表名称:Type=0x00000110


创建注册表值：
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft
注册表名称:Start=0x00000002


创建注册表值：
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft
注册表名称:ErrorControl=0x00000001


创建注册表值：
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft
注册表名称:ImagePath=C:\WINDOWS\Cursors\qqwx.exe


创建注册表值：
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft
注册表名称:DisplayName=Microsoft sp6


创建注册表值：
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft
注册表名称:ObjectName=LocalSystem


创建注册表值：
进程路径:C:\WINDOWS\system32\services.exe
注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\Microsoft
注册表名称:Description=系统登陆初始界面，终止该服务将导致系统不能正常登陆

安装服务：

引用:

安装服务或者驱动：
进程路径:C:\WINDOWS\system32\services.exe
文件路径:C:\WINDOWS\Cursors\qqwx.exe

创建自启项：

引用:

创建注册表值：
进程路径:C:\WINDOWS\Cursors\qqwx.exe
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
注册表名称:StormCodec_Helper=C:\WINDOWS\system32\activex.exe

SREng扫描异常项：


 附件: 您所在的用户组无法下载或查看附件



 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件









用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.0; SLCC1; .NET CLR 2.0.50727; .NET CLR 3.0.04506; MAXTHON 2.0)

C:\WINDOWS\system32\services.exe
C:\WINDOWS\Cursors\qqwx.exe
是双进程守护不?

:kaka15: 啥时候我也折腾下EQ..

EQ BUG：

拦截图：

 附件: 您所在的用户组无法下载或查看附件

日志记录：

2009-05-22 19:56:04 修改注册表内容 操作:允许
进程路径:C:\WINDOWS\Cursors\qqwx.exe
注册表路径:HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
注册表名称:Cache
更改后:C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files
更改前:C:\Documents and Settings\LocalService\Local Settings\Temporary Internet Files
触发规则:所有程序规则->资源管理器->*\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\*Shell Folders*


用EQ我就是用来试毒。。。

:kaka12: 欢迎哈

样本何在？看那图标，难道是易语言写的……

VB写的~

汗，是个挂马网站上的，没保存样本，没想到这么快下载链接就失效了
那个样本图标是空的.......