下沙论坛

 找回密码
 注册论坛(EC通行证)

用新浪微博连接

一步搞定

QQ登录

QQ登录

下沙大学生网QQ群8(千人群)
群号:6490324 ,验证:下沙大学生网。
用手机发布本地信息严禁群发,各种宣传贴请发表在下沙信息版块有问必答,欢迎提问 提升会员等级,助你宣传
新会员必读 大学生的论坛下沙新生必读下沙币获得方法及使用
查看: 2299|回复: 0
打印 上一主题 下一主题

Worm.Delf.dy 1_.ii Worm.Delf.dy Setup.exe

[复制链接]
  • TA的每日心情
    奋斗
    6 小时前
  • 签到天数: 2371 天

    [LV.Master]伴坛终老

    跳转到指定楼层
    1
    发表于 2007-8-17 00:39:00 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
    一个捆绑型的病毒,还能下木马```
    样本来至剑盟````有点意思,破例开了双HIPS跟踪``
    今天的卡吧、AVG、BitDefender、NOD32等都没有报``
    瑞星报的是:Worm.Delf.dy

    Aditional Information3 j1 ?1 ? _ v F0 l& L
    File size: 20000 bytes
    MD5: 3087e68819f9521b7f8be1a17734c3fe
    SHA1: 82b39340a3da0bdde544f0f5e6b9df81e71797a2
    CRC32     : 1C5A03D
    RIPEMD160: 397194446721BA5D7DD6A79CC2ADDC5690D9E49F
    Tiger_192: 4C55317A0FEEA4579665AE892B112E57972671985F50ABAC
    SHA160    : 82B39340A3DA0BDDE544F0F5E6B9DF81E71797A2
    packers: Upack 0.3.9 beta2s
    Languages:Borland Delphi 6.0-7.0
    运行,释放:

    C:\WINNT\system\internat.exe   20000 字节
    C:\WINNT\system\SYSTEM32.vxd   855 字节
    1_.ii 20000 字节
       1、internat.exe常驻进程,调用CMD的Dir命令,遍历分区搜索EXE可执行文件,保存列表至:%Windir%\win.log
    并修改所有运行中的程序的内存空间(便于用来后来捆绑)
       2、按win.log里列表的"黑名单"进行捆绑,跳过系统盘、System Volume Information、Recycled文件夹和下列文件名:
    CA.exe NMCOSrv.exe CONFIG.exe Updater.exe WE8.exe settings.exe PES5.exe PES6.exe
    zhengtu.exe xenettools.exe laizi.exe proxy.exe Launcher.exe WoW.exe              Repair.exeBackgroundDownloader.exe eo2_unins_web.exe O2Jam.exe O2JamPatchClient.exe
    O2ManiaDriverSelect.exe OTwo.exe sTwo.exe GAME2.EXE GAME3.EXE Game4.exe game.exe hypwise.exe Roadrash.exe O2Mania.exe Lobby_Setup.exe eCoralQQ.exe QQ.exe QQexternal.exe BugReport.exe tm.exe   ra2.exe ra3.exe ra4.exeexedzh.exe Findbug.EXE fb3.exe Meteor.exe mir.exe
    KartRider.exe NMService.exeztconfig.exe patchupdate.exe

    貌似都是网游、QQ等进程,给下载木马盗号埋下伏笔.....
       3、接下来从D盘开始进行捆绑感染,被捆绑的文件增加21034字节。用WinHex对比了下,原来是把病毒代码捆绑到文件尾部,并修改了PE头,优先执行捆绑尾部的代码,后执行程序。(原程序运行无影响)。
       4、另一个线程,参数是/update,连接222.220.16.186(TCP)下载16个木马,都是盗号木马(隔段时间重新连接)
    被捆绑后文件,运行后首先执行1_.ii,后在同目录下生成个批处理,内容为:
    :try
    del "%病毒路径%\1_.ii"
    if exist "%病毒路径%" goto try
    del %0
    也就是执行捆绑尾部的病毒后删除自身
    那么每次运行被感染的程序其实就是重新激活病毒,重头做上面那些,并遍历分区生成
    Autorun.inf和Steup.exe
    Autorun.inf内容:
    [AutoRun]
    OPEN=setup.exe
    shellexecute=setup.exe
    shell\打开(&O)\command=setup.exe
    达到双击分区激活病毒的效果,并支持U盘等移动介质传播。
       没有特别好的解决方法,因为每个被“感染”的文件都等于是病毒,只要不小心运行感染的文件后,之前做的一切将都是徒劳的。
    最大限度遏制方法:
    PowerRmv.com 101KB & `' u/ [. q+ J& Y; i
    SREng.rar 597KB & x1 [: v5 d$ i! ]8 @
    打开PowerRmv,选上抑制对象再次生成,填入(一次一个,找不到的忽略):
    C:\Windows\Win.log
    C:\Windows\system32\upxdnd.dll
    C:\Windows\system32\msdebug.dll
    C:\Windows\system32\windhcp.ocx
    C:\Windows\system32\nwizdh.exe
    C:\Windows\system32\msccrt.dll
    C:\Windows\system32\RemoteDbg.dll
    C:\Windows\system32\WinForm.dll
    C:\Windows\system32\AVPSrv.dll
    C:\Windows\system32\Kvsc3.dll
    C:\Windows\system\internat.exe
    C:\Windows\system\1.exe
    C:\Windows\system\2.exe
    C:\Windows\system\5.exe
    C:\Windows\system\6.exe
    C:\Windows\system\7.exe
    C:\Windows\system\8.exe
    C:\Windows\system\9.exe
    C:\Windows\system\10.exe
    C:\Windows\system\14.exe
    C:\Windows\system\SYSTEM32.vxd
    C:\Windows\upxdnd.exe
    C:\Windows\msccrt.exe
    C:\Windows\WinForm.exe
    C:\Windows\AVPSrv.exe
    C:\Windows\Kvsc3.exe
    C:\autorun.inf
    C:\setup.exe
    D:\autorun.inf
    D:\setup.exe
    E:\autorun.inf
    E:\setup.exe
    F:\autorun.inf
    F:\setup.exe
    *:\autorun.inf
    *:\setup.exe
    *为移动介质盘符。
    打开SREng删除:
    注册表
    [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
         <k55d7c><C:\DOCUME~1\admin\LOCALS~1\Temp\iexplorer.exe>   []
         <13e2><C:\DOCUME~1\admin\LOCALS~1\Temp\c0nime.exe>   []
    [HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
         <WinForm><C:\winnt\WinForm.exe>   []
         <upxdnd><C:\winnt\upxdnd.exe>   []
         <msccrt><C:\winnt\msccrt.exe>   []
         <AVPSrv><C:\winnt\AVPSrv.exe>   []
         <Kvsc3><C:\winnt\Kvsc3.exe>   []
    服务
    [WIKLD / WIKLD][Stopped/Manual Start]
       <C:\DOCUME~1\admin\LOCALS~1\Temp\WIKLD.exe><N/A>
    [Remote Debug Service / RemoteDbg][Stopped/Auto Start]
       <C:\winnt\system32\rundll32.exe RemoteDbg.dll,input><Microsoft Corporation>
    [Windows DHCP Service / WinDHCPsvc][Stopped/Auto Start]
       <C:\winnt\system32\rundll32.exe windhcp.ocx,input><Microsoft Corporation>
    记得修改QQ、邮箱等密码。。。。
    然后把病毒文件上报杀软,等识别吧`````
    如果有兴趣的,可以用WinHex删除捆绑的数据,我成功了几个,不过蛮累的,不推荐....
    一些图:








    图片点击可在新窗口打开查看


    图片点击可在新窗口打开查看


    图片点击可在新窗口打开查看


    图片点击可在新窗口打开查看


    图片点击可在新窗口打开查看





    图片点击可在新窗口打开查看


    分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
    收藏收藏 分享分享 顶 踩 转发到微博

    本版积分规则

    关闭

    下沙大学生网推荐上一条 /1 下一条

    快速回复 返回顶部 返回列表