瑞星卡卡安全论坛

测试平台：vm虚拟机 xp sp3
样本（见附件）：取自卡饭
测试工具：直接看图吧

  闲话少说 直接看该样本的行为吧
运行病毒 病毒进程启动 没有界面 很正常 没有病毒敢明目张胆的
  感觉电脑明显变卡 资源占用很大 如图

关机时会出现电脑蓝屏

通过对病毒的监控 取得其主要行为有
进程部分（AD）
病毒本体进程1.exe
  运行一段时间后会启动 cmd。exe进程 如图（额 结束1.exe太快了 没来得及截图）
 
显然 cmd是在运行一个批处理 目的是删除病毒母体 看图吧

文件修改部分
病毒主要释放相关文件有如下的
C:\Program files\MSDN\atixx.sys
C:\Program files\MSDN\000000000
C:\Program files\MSDN\atixx.inf
C:\Program files\MSDN\atixi.sys
C:\Program files\MSDN\000000001
C:\$PrepareToShrinkFileSize
C:\WINDOWS\INF\oem9.inf
C:\WINDOWS\INF\oem9.PNF
修改文件部分
C:\WINDOWS\system32\MmSys.Cpl   
C:\WINDOWS\system32\mdminst.dll   
C:\WINDOWS\system32\SysSetup.Dll 
C:\WINDOWS\system32\NetCfgx.dll 
C:\WINDOWS\system32\sti_ci.dll 
C:\WINDOWS\system32\SysSetup.Dll 
C:\WINDOWS\system32\Batt.dll   
C:\WINDOWS\system32\sdhcinst.dll   
C:\WINDOWS\system32\SysSetup.Dll 
C:\WINDOWS\system32\bthci.dll 
如图


注册表修改部分
由于已知是鬼影 其是通过修改mbr来实现自身加载的 注册表应该没有什么更改 验证如图

在TX中发现的异常 很隐秘啊

核心的RootKit hook

当然 最重要的mbr TX给力啊

遗憾的是没有实地的比较下mbr了
还有的就是网络了 这部分没有特别的监控 望高手指教了 呵呵 毕竟初涉 有很多的不足 大家凑合着看看吧 谢谢了
话说写得好累啊 支持的顶下 有意见的一定要提啊
谨以此文纪念我的卡卡实习生涯 快结束了 呵呵
额 样本在此（有两个哦）

附件: 鬼影病毒样本两个解压密码twoinfected.rar (2011-2-28 23:54:22, 38.79 K)
该附件被下载次数 284

用户系统信息：Mozilla/5.0 (Windows; U; Windows NT 6.1; zh-CN; rv:1.9.2.13) Gecko/20101203 Firefox/3.6.13