找阳光要的样本``他的分析:
[url]http://hi.baidu.com/newcenturysun/blog/item/362821fa88adf28b9e5146f6.html[/url]
据说比较NB,破例开了双HIPS跟踪。
的确比较棘手,专杀之类的东西打不开。
26号的卡吧、BD、Dr、AVG、瑞星、金山、毒霸、偌顿等都没有报!
文件名称:a864.dll
文件大小:42748 byte
AV命名:Backdoor.Win32.Agent.ahj(IKARUS)
依赖平台:Windows(9X以上系统)
加壳方式:nSpack V2.x
编写语言:Borland C++ DLL Method 2
病毒类型:后门
文件MD5:E391C3283B2A7FF47522C7DE3BFDFC85
文件SHA1:AB33528C0A7917CDF5D4E982005A83549562DF84
文件CRC32:F4F9E3E4
危害等级: ★ ★ ★ ☆
传播方式:网络。
行为分析:
1、释放病毒文件:
%Systemroot%\system32\KYMAO.dll 42748 字节 (名字可能不一样)
这个是主体,并使用动态注入技术,插入所有运行中的进程!
%Systemroot%\system32\navcoy.dll 40960 字节
%Systemroot%\system32\ok1.exe 46761 字节
2、遍历进程,如找到QQ.exe进程,则在其目录下生成:
D:\Program Files\QQ\QQ\i.dll 42748 字节
D:\Program Files\QQ\QQ\rasadhlp.dll 8353 字节
3、病毒注入后,检测窗口,尝试关闭:
8749
360safe
wopticlean
kakasetup
ras.exe
btbaicai
wopticlean
360safe
8749病毒
8749专杀
卡卡
安全卫士
IE修复
8749.com病毒
清除8749
删除8749
4、破坏安全模式
删除HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\下的SafeBoot整个键!
导致安全模式无法进入。
5、并在注册表里留下了病毒的一些版本信息,例如:
HKEY_LOCAL_MACHINE\SOFTWARE\8749 technologies\VERSION
REG_SZ, "07072602 "
HKEY_LOCAL_MACHINE\SOFTWARE\test\Version
Version = REG_SZ, "1.2 "
6、写入注册表:
HKEY_CLASSES_ROOT\Baidu509.Navcot键。
指向的是%Systemroot%\system32\navcoy.dll。
注册BHO,实现打开IE则注入病毒文件:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Browser Helper Objects
指向的是%Systemroot%\system32\navcoy.dll
7、劫持IE主页,修改为:***.8749.com
(重点来了,一起鄙视下)
并由KYMAO.dll 监视,每隔一段时间重写主页(***.8749.com)。
注册表变动:
HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\Main\Start Page
注册表值 Start Page
改为:REG_SZ, " http://***.8749.com "
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\CustomizeSearch
注册表值CustomizeSearch
改为:" http://***.8749.com "
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search\SearchAssistant
注册表值SearchAssistant
改为:REG_SZ, " http://***.8749.com "
8、修改HOST,实现DNS劫持(每隔一段时间连接
http://***.8749.com
下载HOST列表并修改):
125.91.1.20 [url]www.37021.net[/url]
125.91.1.20 37021.net
125.91.1.20 5235.net
125.91.1.20 [url]www.5235.net[/url]
127.0.0.1 [url]www.duba.net[/url]
127.0.0.1 duba.net
专杀下载:
360‖8七四久砖刹程式.rar 84KB
(转至360安全卫士官方论坛)
手工清除只需要三步,不过却讲究技巧,并且病毒文件名是不固定的所以就不推荐了```
死亡三步曲:
1、冰刃,禁止线程创建,删除:
%Systemroot%\system32\KYMAO.dll 42748 字节 (名字可能不一样)
%Systemroot%\system32\navcoy.dll 40960 字节
%Systemroot%\system32\ok1.exe 46761 字节
如果有QQ的话:
D:\Program Files\QQ\QQ\i.dll 42748 字节(名字可能不一样)
D:\Program Files\QQ\QQ\rasadhlp.dll 8353 字节
冰刃注册表功能,删除:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad
%Systemroot%\system32\KYMAO.dll
2、重启并监视,重启后SREng修复安全模式(不一定成功)和重置HOST
(也可以找个系统相同的,把SafeBoot键导出。)
3、推荐使用360安全卫士修复被篡改的主页:
[url]http://www.360safe.com[/url]
OK,收工。
民间和杀软公司的区别真的很大`。。。
一个流行接近一个月的样本,今晚才收到```
呼``
=。=