瑞星卡卡安全论坛

首先感谢leo108师傅在报销了3个u盘数据后提供的样本、、经测试、、此样本已经能被瑞星、360、金山、完美防御、
但是、在运行病毒后、、再打开实时监控、就不是那么容易了、此样本、瑞星报毒为win32.chinesehacker-2.b。在打开后感染所有可执行文件、而且有些可执行文件被感染后、会不能正常运行、比如瑞星的rsmain.exe、会报错、
但是可以打开瑞星的实时监控、、、当结束掉病毒进程后瑞星可以杀掉、、双击瑞星图标后会出现如下提示、、
 附件: 您所在的用户组无法下载或查看附件
点击确定后瑞星能杀掉此病毒、
下面是关于此病毒的分析
此病毒会加载库文件：
C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll
C:\WINDOWS\system32\imm32.dll
C:\WINDOWS\system32\lpk.dll
C:\WINDOWS\system32\usp10.dll
C:\WINDOWS\system32\wsock32.dll
C:\WINDOWS\system32\ws2_32.dll
C:\WINDOWS\system32\ws2help.dll
创建文件：并运行
C:\WINDOWS\system32\runouce.exe
创建注册表键值：加入开机启动项
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[runonce]
写入虚拟内存
C:\WINDOWS\explorer.exe
:kaka4: 不会了、、没有更深入的了、、求指教、:kaka14:

 附件: 您所在的用户组无法下载或查看附件

用户系统信息：Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

重启前加载一个进程用来保护自身，
并将自身加入启动项
在重启后不会再启动进程， 但是加入了注册表，runonce键值貌似也加入了，
并且更改了host,浏览器也加入了一个加载项。
更改了rar.exe

还有啥来着 忘记了，，，刚把分析的东西删除了

修改了一下的文件
c:\Inetpub\wwwroot\readme.eml
[pathname with a string SHARE]\readme.eml
%ProgramFiles%\Common Files\System\ado\readme.eml
%ProgramFiles%\NetMeeting\readme.eml
c:\readme.eml
修改以下文件：
c:\contacts.html
c:\Inetpub\wwwroot\index.html
[pathname with a string SHARE]\DW20.EXE
[pathname with a string SHARE]\DWTRIG20.EXE
[pathname with a string SHARE]\msinfo32.exe
[pathname with a string SHARE]\sapisvr.exe
[pathname with a string SHARE]\Blank.htm
[pathname with a string SHARE]\Citrus Punch.htm
[pathname with a string SHARE]\Clear Day.htm
[pathname with a string SHARE]\Fiesta.htm
[pathname with a string SHARE]\Glacier.htm
[pathname with a string SHARE]\Ivy.htm
[pathname with a string SHARE]\Leaves.htm
[pathname with a string SHARE]\Maize.htm
[pathname with a string SHARE]\Nature.htm
[pathname with a string SHARE]\Network Blitz.htm
[pathname with a string SHARE]\Pie Charts.htm
[pathname with a string SHARE]\Sunflower.htm
[pathname with a string SHARE]\Sweets.htm
[pathname with a string SHARE]\Technical.htm
%ProgramFiles%\Common Files\System\ado\MDACReadme.htm
%ProgramFiles%\Internet Explorer\Connection Wizard\icwconn1.exe
%ProgramFiles%\Internet Explorer\Connection Wizard\icwconn2.exe
%ProgramFiles%\Internet Explorer\Connection Wizard\icwrmind.exe
%ProgramFiles%\Internet Explorer\Connection Wizard\icwtutor.exe
%ProgramFiles%\Internet Explorer\Connection Wizard\inetwiz.exe
%ProgramFiles%\Internet Explorer\Connection Wizard\isignup.exe
%ProgramFiles%\Internet Explorer\iedw.exe
%ProgramFiles%\MSN\MSNCoreFiles\Install\MSN9Components\Digcore.exe
%ProgramFiles%\MSN\MSNCoreFiles\Install\MSN9Components\Msncli.exe
%ProgramFiles%\MSN\MSNCoreFiles\Install\msnsusii.exe
%ProgramFiles%\MSN\MSNIA\msniasvc.exe
%ProgramFiles%\MSN\MSNIA\prestp.exe
%ProgramFiles%\MSN\MsnInstaller\msninst.exe
%ProgramFiles%\NetMeeting\cb32.exe
%ProgramFiles%\NetMeeting\conf.exe
%ProgramFiles%\NetMeeting\netmeet.htm
%ProgramFiles%\NetMeeting\wb32.exe
%ProgramFiles%\Outlook Express\msimn.exe
%ProgramFiles%\Outlook Express\oemig50.exe
%ProgramFiles%\Outlook Express\setup50.exe
%ProgramFiles%\Outlook Express\wab.exe
%ProgramFiles%\Outlook Express\wabmig.exe
%ProgramFiles%\Web Publish\WPWIZ.EXE
%ProgramFiles%\WinPcap\rpcapd.exe
%ProgramFiles%\WinPcap\Uninstall.exe
创建一个进程
runouce.exe    %System%\runouce.exe
注册表键值
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
Runonce = "%System%\runouce.exe"
%System%\runouce.exe

发个被感染的文件上来看看

那样本就是被感染的文件、:kaka12:

楼上几位赚大发了，这可是加分的好机会哦:kaka12:

:kaka6: 师傅多给我加几分啊啊 啊啊啊啊、、