发表于: 2008-11-29 23:58 | 显示全部 短消息 资料
字号: 1楼

瑞星不报

样本来源:http://bbs.kingzoo.com/viewthread.php?tid=23021&;pid=173995&page=1&extra=page%3D1#pid173995

文件: new.exe
大小: 62454 字节
MD5: B2DD2EDC2832545B6A33EE14E73E7167
SHA1: 58FEF8DC5AE58427AA9ADC9EB94571FB145F6F3D
CRC32: B555CC01
加壳类型: N/A
编写语言: VC++

简单行为分析:

释放病毒副本:


引用:
%system32%\004e6b5.imi
%system32%\??????.dll(6位随机字母组合命名)


调用svchost.exe安装服务:


引用:
命令行:%system32%\svchost.exe -k ldpict


加载病毒文件安装服务插入进程svchost.exe:


引用:
HKLM\SYSTEM\CurrentControlSet\Services\ldpict
HKLM\SYSTEM\ControlSet001\Services\ldpict
HKLM\SYSTEM\ControlSet002\Services\ldpict
HKLM\SYSTEM\ControlSet003\Services\ldpict

指向病毒文件"%system32%\??????.dll"


依赖于进程svchost.exe出站TCP联网:


引用:
124.128.167.138:kerberos




手工清理:

下载冰刃;

在进程"svchost.exe"中卸载模块"%system32%\??????.dll";

删除文件:


引用:
%system32%\004e6b5.imi
%system32%\??????.dll


删除注册表:


引用:
HKLM\SYSTEM\CurrentControlSet\Services\ldpict
HKLM\SYSTEM\ControlSet001\Services\ldpict
HKLM\SYSTEM\ControlSet002\Services\ldpict
HKLM\SYSTEM\ControlSet003\Services\ldpict





注:%System32%是一个可变路径。病毒通过查询操作系统来决定当前System文件夹的位置。
     %Windir%             WINDODWS所在目录
     %DriveLetter%          逻辑驱动器根目录
     %ProgramFiles%          系统程序默认安装目录
     %HomeDrive%           当前启动的系统的所在分区
     %Documents and Settings%     当前用户文档根目录
     %Temp%             \Documents and Settings
                     \当前用户\Local Settings\Temp
     %System32%            系统的 System32文件夹
    
     Windows2000/NT中默认的安装路径是C:\Winnt\System32
     windows95/98/me中默认的安装路径是C:\Windows\System
     windowsXP中默认的安装路径是C:\Windows\System32

用户系统信息:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; .NET CLR 2.0.50727)

附件附件:

您所在的用户组无法下载或查看附件

不认识我没关系,因为我也不认识你。