瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 致:赵冰——关于你发来的样本Mstss.exe

1   1  /  1  页   跳转

致:赵冰——关于你发来的样本Mstss.exe

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-04-07 21:07 | 只看楼主 短消息 资料
字号: 1楼

致:赵冰——关于你发来的样本Mstss.exe

是网马。
这个网马有点儿意思。
两次植入系统后,释放的文件以及那几个插进程的dll所在的位置均有变化。

查杀并不难。根据SRENG日志,删除木马启动项、处理干净进程、删除木马文件即可。

——————
以下是第一次植入木马后的SRENG日志及释放/下载的木马文件:



启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <upxdhnd><C:\DOCUME~1\baohelin\LOCALS~1\Temp\upxdhnd.exe>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{4DEC9B29-F08F-4cbc-B179-592B9283FAB0}><c:\program files\common files\pfshared\vswxubov.dll>  [N/A]
    <{E464D6D7-935B-4203-9E74-8A6C60906B37}><c:\program files\common files\pfshared\lkigtece.dll>  [N/A]
    <{C883F785-102E-2427-7ADD-5B002D13D077}><C:\windows\system32\gj.dll>  [N/A]

==================================
正在运行的进程

[PID: 584][\??\C:\windows\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [c:\program files\common files\pfshared\vswxubov.dll]  [N/A, N/A]
    [c:\program files\common files\pfshared\lkigtece.dll]  [N/A, N/A]
[PID: 1044][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\upxdhnd.dll]  [N/A, N/A]
    [c:\program files\common files\pfshared\vswxubov.dll]  [N/A, N/A]
    [c:\program files\common files\pfshared\lkigtece.dll]  [N/A, N/A]
    [C:\windows\system32\gj.dll]  [N/A, N/A]
[PID: 1860][C:\Program Files\Tiny Firewall Pro\amon.exe]  [Computer Associates International, Inc., 6.5.3.2]
    [C:\windows\system32\gj.dll]  [N/A, N/A]
[PID: 3672][C:\windows\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\gj.dll]  [N/A, N/A]
[PID: 1984][C:\windows\system32\conime.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\gj.dll]  [N/A, N/A]
[PID: 276][C:\Program Files\SREng\SREng.exe]  [Smallfrogs Studio, 2.2.6.605]
    [C:\windows\system32\gj.dll]  [N/A, N/A]

附件附件:

下载次数:190
文件类型:image/pjpeg
文件大小:
上传时间:2007-4-7 21:07:21
描述:
预览信息:EXIF信息



最后编辑2007-04-08 22:26:32
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2007-04-07 21:08 | 只看楼主 短消息 资料
字号: 2楼

以下是第二次植入木马后的SRENG日志及释放/下载的木马文件:


[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
    <upxdhnd><C:\DOCUME~1\baohelin\LOCALS~1\Temp\upxdhnd.exe>  [N/A]
    <kernel32><C:\windows\Kernel32.exe>  [N/A]
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
    <{4DEC9B29-F08F-4cbc-B179-592B9283FAB0}><c:\program files\internet download manager\pqiwgkiw.dll>  [N/A]
    <{E464D6D7-935B-4203-9E74-8A6C60906B37}><c:\program files\internet download manager\wcxpjetr.dll>  [N/A]
    <{C883F785-102E-2427-7ADD-5B002D13D077}><C:\windows\system32\gj.dll>  [N/A]

正在运行的进程

[PID: 584][\??\C:\windows\system32\winlogon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [c:\program files\internet download manager\pqiwgkiw.dll]  [N/A, N/A]
    [c:\program files\internet download manager\wcxpjetr.dll]  [N/A, N/A]

[PID: 1608][C:\windows\Explorer.EXE]  [Microsoft Corporation, 6.00.2900.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\upxdhnd.dll]  [N/A, N/A]
    [c:\program files\internet download manager\pqiwgkiw.dll]  [N/A, N/A]
    [c:\program files\internet download manager\wcxpjetr.dll]  [N/A, N/A]
    [C:\windows\system32\gj.dll]  [N/A, N/A]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\~TmD.tmp.rom]  [N/A, N/A]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\~TmE.tmp..rom]  [N/A, N/A]
[PID: 2008][C:\windows\system32\ctfmon.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\~TmD.tmp.rom]  [N/A, N/A]
[PID: 2020][C:\Program Files\Tiny Firewall Pro\amon.exe]  [Computer Associates International, Inc., 6.5.3.2]
    [C:\windows\system32\gj.dll]  [N/A, N/A]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\~TmD.tmp.rom]  [N/A, N/A]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\~TmE.tmp..rom]  [N/A, N/A]
[PID: 1156][C:\Program Files\Internet Download Manager\IDMan.exe]  [Internet Download Manager Corp., Tonec Inc. , 5, 0, 2, 5]
    [C:\windows\system32\gj.dll]  [N/A, N/A]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\~TmD.tmp.rom]  [N/A, N/A]
[PID: 2640][C:\Program Files\TechSmith\SnagIt 7\SnagIt32.exe]  [TechSmith Corporation, 7.1.2.0]
    [C:\windows\system32\gj.dll]  [N/A, N/A]
[PID: 384][C:\windows\system32\svchost.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\gj.dll]  [N/A, N/A]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\~TmD.tmp.rom]  [N/A, N/A]
[PID: 3216][C:\windows\system32\conime.exe]  [Microsoft Corporation, 5.1.2600.2180 (xpsp_sp2_rtm.040803-2158)]
    [C:\windows\system32\gj.dll]  [N/A, N/A]
[PID: 4036][C:\Program Files\SREng\SREng.exe]  [Smallfrogs Studio, 2.2.6.605]
    [C:\windows\system32\gj.dll]  [N/A, N/A]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\~TmD.tmp.rom]  [N/A, N/A]
    [C:\DOCUME~1\baohelin\LOCALS~1\Temp\~TmE.tmp..rom]  [N/A, N/A]

附件附件:

下载次数:238
文件类型:image/pjpeg
文件大小:
上传时间:2007-4-7 21:08:20
描述:
预览信息:EXIF信息
gototop
 
thull
头像
快乐黄口狮
  • 帖子:170
  • 注册: 2006-06-02
  • 来自:
发表于: 2007-04-08 11:06 | 短消息 资料
字号: 3楼

学习了  呵呵
gototop
 
我是来来
头像
初生襁褓狮
  • 帖子:1058
  • 注册: 2006-09-13
  • 来自:
发表于: 2007-04-08 12:34 | 短消息 资料
字号: 4楼

学习
gototop
 
sanjingshou
头像
强壮不惑狮
  • 帖子:1166
  • 注册: 2006-07-15
  • 来自:
发表于: 2007-04-08 12:37 | 短消息 资料
字号: 5楼

帮顶下。。。
gototop
 
£影子虫あ
头像
锋芒艾服狮
  • 帖子:2315
  • 注册: 2007-03-09
  • 来自:极不发达国家
发表于: 2007-04-08 13:34 | 短消息 资料
字号: 6楼

楼主就是传说中的猫叔么?
gototop
 
修罗撒旦
头像
健康舞勺狮
  • 帖子:300
  • 注册: 2006-09-18
  • 来自:
发表于: 2007-04-08 13:44 | 短消息 资料
字号: 7楼

引用:
【£影子虫あ的贴子】楼主就是传说中的猫叔么?
………………



不是传说,就是猫叔
gototop
 
炫Oo逍遥oO
头像
锋芒艾服狮
  • 帖子:1306
  • 注册: 2006-06-30
  • 来自:
发表于: 2007-04-08 15:35 | 短消息 资料
字号: 8楼

学习了...
gototop
 
新版小欧
头像
自信弱冠狮
  • 帖子:384
  • 注册: 2007-01-31
  • 来自:
发表于: 2007-04-08 22:09 | 短消息 资料
字号: 9楼

郁闷,在这要一分闪人

顺便问个小问题:

猫叔以前有没有过哪个贴子关于Tiny的
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2007-04-08 22:36 | 短消息 资料
字号: 10楼

baohe

在这方面下了工夫了。

第二次释放出的文件里:deleteme.bat

你是怎么知道的?

是那些监控工具提示出的吗?
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT