机器狗新病毒分析
我这里有二个样本’ dd.exe
dod.exe


通过McAfee的日志我们可以看到
===============================================================
2008-1-24
11:56:09
 已由访问保护规则禁止
SMILE\Administrator
C:\Documents and Settings\Administrator\ 桌面\dod.exe     C:\Documents and
Settings\Administrator\Local Settings\Temp\tmpA9.tmp       防间谍程序最大保护:禁止所有程序从Temp 文件夹运行文件   已阻止的操作: 执行
==============================================================



与此同时我打开了netstat看端口的连接情况
发现有一个远程的连接60.190.203.144:8080 通过这条可以知道 是连接60.190.203.144IP地址的8080端口的数据(可能是下载)
为什么会有McAfee 前面检测的这条C:\Documents and
Settings\Administrator\Local Settings\Temp\tmpA9.tmp      防间谍程序最大保护:禁止所有程序
得出来简单的判断: tmpA9.tmp应该是 用于放下载文件的临时文件
============================================================
 2008-1-24
11:56:09
 已由访问保护规则禁止
SMILE\Administrator
C:\Documents and Settings\Administrator\桌面\dod.exe
C:\Documents and
Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\index.dat
防病毒最大保护:保护缓存文件免受密码和电子邮件地址窃贼的***  已阻止的操作: 读取
=================================================================
很快的我们的McAfee又提供了一条新的信息. 正如我们所预计的一样。它正是通过(60.190.203.144:8080)在下载 (或者说是在比较病毒的版本)

================================================================
 2008-1-24
11:59:47
 已由访问保护规则禁止
SMILE\Administrator
C:\WINDOWS\Explorer.EXE
\REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{9609dac0-b4e4-4c18-b37e-335dae4f2612}
 通用标准保护:禁止安装 Browser Helper Objects Shell Extensions
已阻止的操作: 创建
==================================================================
这条应该是在IE加载里面添加扩展执行 看看%ProgramFiles%\Internet Explorer\目录下有没有东东,就可能是添加的了



然后就是一长串的报警提示了

=============================================================
 2008-1-24
11:59:59
已由访问保护规则禁止
SMILE\Administrator
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\system32\upxdnd.dll
通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件       已阻止的操作: 创建
2008-1-24
11:59:59
已由访问保护规则禁止
SMILE\Administrator
C:\WINDOWS\upxdnd.exe
C:\WINDOWS\system32\xrnpgy.dll
通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件       已阻止的操作: 创建
2008-1-24
11:59:59
已由访问保护规则禁止
SMILE\Administrator
C:\WINDOWS\WinForm.exE
C:\WINDOWS\system32\WinForm.dll
通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件       已阻止的操作: 创建
2008-1-24
11:59:59
已由访问保护规则禁止
SMILE\Administrator
C:\WINDOWS\WinForm.exE
C:\WINDOWS\system32\legkxb.dll
通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件       已阻止的操作: 创建
2008-1-24
12:00:01
已由访问保护规则禁止
SMILE\Administrator
C:\WINDOWS\Kvsc3.exE
C:\WINDOWS\system32\Kvsc3.dll
通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件       已阻止的操作: 创建
2008-1-24
12:00:01
已由访问保护规则禁止
SMILE\Administrator
C:\WINDOWS\Kvsc3.exE
C:\WINDOWS\system32\lxsfqq.dll
通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件       已阻止的操作: 创建
2008-1-24
12:00:02
已由访问保护规则禁止
SMILE\Administrator
C:\WINDOWS\DbgHlp32.exe
C:\WINDOWS\system32\DbgHlp32.dll
通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件       已阻止的操作: 创建
2008-1-24
12:00:02
已由访问保护规则禁止
SMILE\Administrator
C:\WINDOWS\DbgHlp32.exe
C:\WINDOWS\system32\yzzanc.dll
通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件       已阻止的操作: 创建



好了。我们的McAfee在无声无息中阻止了一次声势浩大的***,而你还是在安心的睡觉中呢~

看了这个的话大家就很好防范了。这病毒只不过如此!!!!