瑞星卡卡安全论坛

首页 » 技术交流区 » 反病毒/反流氓软件论坛 » 一个有趣的数据流病毒
baohe - 2011-8-22 17:06:00
这个病毒的主要文件存放在一个名为$NtUninstallKB31750$文件夹中,样子很像安装补丁留下的DD。此文件夹的权限已被病毒封死。
1、病毒样本运行后释放的文件:









2、病毒样本运行后的注册表改动:





此外,微软还说这类病毒会随机更改系统驱动。但我没观测到。


病毒运行后修改winlogon.exe、explorer.exe内存。

另一个明显的中毒症状是:运行XueTr等辅助工具时,病毒会即刻结束程序进程,并取消该程序的访问权限。

一个例外是:DesikGenius不受此毒影响。DesikGenius运行后,可以删除$NtUninstallKB31750$文件夹中的病毒文件以及windows目录下的那个附着病毒数据流的空文件1538892346。但$NtUninstallKB31750$文件夹无法删除(提示找不到路径)。


此外,位于$Recycle.Bin中的回收站也被病毒附加了病毒数据流。


此毒忽略了系统自带的注册表编辑器。病毒完整运行后,regedit.exe仍可正常运行,且可看到病毒添加的注册表项,当然,也可删除这些项。但是,仅仅这样简单删除没用,因为重启或关机前,病毒会回写这些注册表项。

但有一个土办法可以阻止病毒回写注册表项。即:自己建一个空文件,命名为taskmgr.exe,将其放到当前用户目录下,并取消taskmgr.exe的所有权限。



然后,再如上述操作,删除病毒文件及注册表项。重启,就行了。


后来发现,放在当前用户目录下、被封死权限的那个空文件taskmgr.exe还有预防此毒的作用。事先安排好这个taskmgr.exe,再运行病毒样本,前述病毒动作均不能发生。






用户系统信息:Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
快乐男孩1233 - 2011-8-22 17:08:00
该用户帖子内容已被屏蔽
baohe - 2011-8-22 17:11:00


引用:
原帖由 快乐男孩1233 于 2011-8-22 17:08:00 发表
powertool可以运行解决它吗?



不行


中此毒后, powertool 一运行,立即被病毒关闭,并将其访问权限封死。
networkedition - 2011-8-22 17:24:00
猫叔试一下,xp系统实机运行一下这个病毒。ms能出现:病毒会随机更改系统驱动的情况。:kaka12:
baohe - 2011-8-22 17:29:00


引用:
原帖由 networkedition 于 2011-8-22 17:24:00 发表
猫叔试一下,xp系统实机运行一下这个病毒。ms能出现:病毒会随机更改系统驱动的情况。:kaka12: 



我的两台电脑,都彻底消灭了XP系统。又不敢在别人的电脑上玩儿毒。:kaka6:
病毒4 - 2011-8-22 17:54:00
猫大爷数据流病毒是个咩呀
baohe - 2011-8-22 18:02:00


引用:
原帖由 病毒4 于 2011-8-22 17:54:00 发表
猫大爷数据流病毒是个咩呀



样本(密码:123)


附件: yangben.rar (2011-8-22 18:01:55, 179.22 K)
该附件被下载次数 550

病毒4 - 2011-8-22 20:08:00
谢谢猫大爷~
奇缘の随风 - 2011-8-23 8:14:00
我很奇怪,这个病毒控制exp后 删除用户目录下的taskmgr.exe 并没有这个文件,为什么跟他有关系呢?
难道删除后 有创建了看不见的流文件 HIPS 监控不到?

2011-8-23 06:40:10    创建新进程    允许
进程: c:\windows\explorer.exe
目标: e:\downloads\keygen\keygen.exe
命令行: "E:\downloads\Keygen\Keygen.exe"
规则: [应用程序]*

2011-8-23 06:40:16    创建新进程    允许
进程: e:\downloads\keygen\keygen.exe
目标: c:\windows\explorer.exe
命令行: 0000003C*
规则: [应用程序]*

2011-8-23 06:40:19    修改其他进程的内存    允许
进程: e:\downloads\keygen\keygen.exe
目标: c:\windows\explorer.exe
规则: [应用程序]*

2011-8-23 06:40:29    删除文件    允许
进程: c:\windows\explorer.exe
目标: C:\Documents and Settings\Administrator\wevtapi.dll
规则: [应用程序]c:\windows\explorer.exe -> [文件]*

2011-8-23 06:40:31    删除文件    允许
进程: c:\windows\explorer.exe
目标: C:\Documents and Settings\Administrator\taskmgr.exe
规则: [应用程序]c:\windows\explorer.exe -> [文件]*
baohe - 2011-8-23 8:49:00
这是此毒“聪明”的一步动作:从系统目录拷贝一个taskmgr.exe到当前用户目录中。然后利用当前用户目录下的这个taskmgr.exe做坏事。
如果用户开着UAC ,病毒这步貌似聪明的动作就是昏招:kaka12:
奇缘の随风 - 2011-8-23 9:48:00
我和别人测试中都没看到此动作。
可能我是fat32的原因。。。。
baohe - 2011-8-23 10:02:00
当前用户目录下的那个taskmgr.exe是临时从系统中拷贝来的。病毒用完这个程序,即刻删除之。
还有:
C:\Documents and Settings\Administrator\wevtapi.dll
这个库文件(病毒的),你能逮住吗?
俺逮住了:kaka12:
如果想要,我可传上来。
奇缘の随风 - 2011-8-23 11:21:00
wevtapi.dll 不是系统的dll吗。  我没有逮到文件, 当时我猜测  是不是病毒删除文件后再创建文件,然后用这里的文件替换系统的taskmgr.exe和wevtapi.dll。

我用MD 测毒时 病毒要修改exp的内存,我就临时允许 看看病毒控制exp后是什么动作(平时是阻止陌生程序控制系统进程的)
只看到病毒删除 用户目录下的这2个文件,然后没下文了。
我看到别人测试的日志,动作比我这里多,有你文中的动作。  还修改驱动目录的sys的文件权限
baohe - 2011-8-23 11:29:00
这个wevtapi.dll 不是系统的。传到virustotal 扫————报毒(不止一家报)。
奇缘の随风 - 2011-8-23 12:13:00
这个病毒的主要还是在服务吧
魔兽高手 - 2011-8-29 0:24:00
taskmgr.exe不是任务管理器 程序么 ,又不会自启动
病毒用它做什么呢?怎么用它来干坏事的?:kaka2:
另外,猫叔能把这个yangben.exe反汇编一下么:kaka12:
baohe - 2011-8-29 8:52:00


引用:
原帖由 魔兽高手 于 2011-8-29 0:24:00 发表
taskmgr.exe不是任务管理器 程序么 ,又不会自启动
病毒用它做什么呢?怎么用它来干坏事的?:kaka2:
另外,猫叔能把这个yangben.exe反汇编一下么:kaka12: 



附件是此病毒程序反汇编结果


我不懂编程。完全看不懂。:kaka12:

附件: yangben反汇编.rar
1
查看完整版本: 一个有趣的数据流病毒
© 2000 - 2024 Rising Corp. Ltd.