1   1  /  1  页   跳转

[原创] 一个有趣的数据流病毒

一个有趣的数据流病毒

这个病毒的主要文件存放在一个名为$NtUninstallKB31750$文件夹中,样子很像安装补丁留下的DD。此文件夹的权限已被病毒封死。
1、病毒样本运行后释放的文件:









2、病毒样本运行后的注册表改动:





此外,微软还说这类病毒会随机更改系统驱动。但我没观测到。


病毒运行后修改winlogon.exe、explorer.exe内存。

另一个明显的中毒症状是:运行XueTr等辅助工具时,病毒会即刻结束程序进程,并取消该程序的访问权限。

一个例外是:DesikGenius不受此毒影响。DesikGenius运行后,可以删除$NtUninstallKB31750$文件夹中的病毒文件以及windows目录下的那个附着病毒数据流的空文件1538892346。但$NtUninstallKB31750$文件夹无法删除(提示找不到路径)。


此外,位于$Recycle.Bin中的回收站也被病毒附加了病毒数据流。


此毒忽略了系统自带的注册表编辑器。病毒完整运行后,regedit.exe仍可正常运行,且可看到病毒添加的注册表项,当然,也可删除这些项。但是,仅仅这样简单删除没用,因为重启或关机前,病毒会回写这些注册表项。

但有一个土办法可以阻止病毒回写注册表项。即:自己建一个空文件,命名为taskmgr.exe,将其放到当前用户目录下,并取消taskmgr.exe的所有权限。



然后,再如上述操作,删除病毒文件及注册表项。重启,就行了。


后来发现,放在当前用户目录下、被封死权限的那个空文件taskmgr.exe还有预防此毒的作用。事先安排好这个taskmgr.exe,再运行病毒样本,前述病毒动作均不能发生。






用户系统信息:Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1; Trident/5.0)
最后编辑baohe 最后编辑于 2011-08-22 17:08:28
分享到:
gototop
 

回复: 一个有趣的数据流病毒



引用:
原帖由 快乐男孩1233 于 2011-8-22 17:08:00 发表
powertool可以运行解决它吗?



不行


中此毒后, powertool 一运行,立即被病毒关闭,并将其访问权限封死。
gototop
 

回复: 一个有趣的数据流病毒



引用:
原帖由 networkedition 于 2011-8-22 17:24:00 发表
猫叔试一下,xp系统实机运行一下这个病毒。ms能出现:病毒会随机更改系统驱动的情况。 



我的两台电脑,都彻底消灭了XP系统。又不敢在别人的电脑上玩儿毒。
gototop
 

回复: 一个有趣的数据流病毒



引用:
原帖由 病毒4 于 2011-8-22 17:54:00 发表
猫大爷数据流病毒是个咩呀



样本(密码:123)


附件: yangben.rar (2011-8-22 18:01:55, 179.22 K)
该附件被下载次数 551

gototop
 

回复 9F 奇缘の随风 的帖子

这是此毒“聪明”的一步动作:从系统目录拷贝一个taskmgr.exe到当前用户目录中。然后利用当前用户目录下的这个taskmgr.exe做坏事。
如果用户开着UAC ,病毒这步貌似聪明的动作就是昏招
gototop
 

回复 11F 奇缘の随风 的帖子

当前用户目录下的那个taskmgr.exe是临时从系统中拷贝来的。病毒用完这个程序,即刻删除之。
还有:
C:\Documents and Settings\Administrator\wevtapi.dll
这个库文件(病毒的),你能逮住吗?
俺逮住了
如果想要,我可传上来。
gototop
 

回复 13F 奇缘の随风 的帖子

这个wevtapi.dll 不是系统的。传到virustotal 扫————报毒(不止一家报)。
gototop
 

回复: 一个有趣的数据流病毒



引用:
原帖由 魔兽高手 于 2011-8-29 0:24:00 发表
taskmgr.exe不是任务管理器 程序么 ,又不会自启动
病毒用它做什么呢?怎么用它来干坏事的?
另外,猫叔能把这个yangben.exe反汇编一下么 



附件是此病毒程序反汇编结果


我不懂编程。完全看不懂。

附件附件:

下载次数:999
文件类型:application/rar
文件大小:
上传时间:2011-8-29 8:52:24
描述:rar

gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT