|
|
刚刚在网上抓到一个类似威金的病毒. 做个了个分析。现在把分析的成果拿出来给大家分享下。8 h) w9 N1 M" X# d
; b+ i. ]- y# j8 r0 ]6 f, Z
=============================================) p6 _: \% V* J2 c
( w2 ?, F0 q2 q) q( A! g
2008-09-17 15:41:30 应用程序保护(运行应用程序) 操作:阻止5 O( E" p9 q# n2 y
进程路径:C:\WINDOWS\system32\cmd.exe, ^8 x8 u+ m6 l, V" l
文件路径:C:\WINDOWS\system32\sc.exe 服务5 w! c# i K# n$ h# I
命令行:description HPMIUE 于广大络针纷言的来况看向现一新此在在自7 ^3 @; Z) P, S: `6 ^1 v9 o* h
2008-09-17 15:41:30 应用程序保护(运行应用程序) 操作:阻止
) M2 v' T* c$ l1 q4 |5 m) `& i" Q进程路径:C:\WINDOWS\system32\cmd.exe
' S+ K; X2 W' T0 \文件路径:C:\WINDOWS\system32\sc.exe
! g" ^- M( f% Z0 L3 y命令行:create HPMIUE BinPath= "C:\WINDOWS\system32\HPMIUE.exe -2CYPSP" type= own type= interact start= auto DisplayName= YQ0NV2HSU3
- W# U9 D' c x- I. Q# j1 V' g- V8 |! G2008-09-17 15:41:30 应用程序保护(运行应用程序) 操作:阻止
+ r: Q# t6 s$ Y _0 L进程路径:C:\WINDOWS\system32\cmd.exe7 V- j5 P( p# |2 r2 z
文件路径:C:\WINDOWS\system32\reg.exe windows控制台注册表工具
' h( W5 [9 p0 I. s% w! K: Z+ z命令行:delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /F! k/ F* b4 J. Z% i3 g, H8 `2 X, ^+ o
2008-09-17 15:41:30 应用程序保护(运行应用程序) 操作:阻止) i! f0 X1 s3 S+ |7 x' K
进程路径:C:\WINDOWS\system32\cmd.exe
, a# @5 A+ u2 a$ i) j* u% |文件路径:C:\WINDOWS\system32\reg.exe
" O, c, w- s2 |3 u命令行:delete HKLM\SYSTEM\ControlSet001\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /F
, `; T9 x5 z% L! x# |* C" ~2008-09-17 15:41:30 应用程序保护(运行应用程序) 操作:阻止
! \/ m; b- S6 w# S" d6 [. _& q1 B进程路径:C:\WINDOWS\system32\cmd.exe
: y3 O# s$ R( X7 U" `) u文件路径:C:\WINDOWS\system32\reg.exe 7 ?( }) e/ Q1 d( ]0 |% V
命令行:delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\{4D36E967-E325-11CE-BFC1-08002BE10318} /F1 A e! z: T! t' r8 `; k
2008-09-17 15:41:30 应用程序保护(运行应用程序) 操作:阻止& \2 D% Q+ N1 v7 C1 j2 \3 x
进程路径:C:\WINDOWS\system32\cmd.exe/ ^8 n! ]& Q! b+ d* }5 e4 p# T
文件路径:C:\WINDOWS\system32\reg.exe
4 m2 U1 `, ]7 a- t$ E$ a3 O命令行:delete HKLM\SYSTEM\CurrentControlSet\Control\SafeBoot\Network\{4D36E967-E325-11CE-BFC1-08002BE10318} /F( O D2 @3 J& U w
2008-09-17 15:41:30 应用程序保护(运行应用程序) 操作:阻止2 Z, j4 Z2 K- x# z- t% v3 r& t
进程路径:C:\WINDOWS\system32\cmd.exe3 L V4 O# q8 X6 S+ Z. `& i( c A
文件路径:C:\WINDOWS\system32\reg.exe
: i$ n. M' D) a$ T命令行:delete HKLM\Software\Microsoft\Windows\CurrentVersion\Run /F, \; @. Q8 i0 J1 k' ]8 u
2008-09-17 15:41:30 应用程序保护(运行应用程序) 操作:阻止
7 t/ ]/ |9 Y" t4 n进程路径:C:\WINDOWS\system32\cmd.exe
4 }4 x% U9 P& `$ o; S) f, ~6 u4 Q文件路径:C:\WINDOWS\system32\sc.exe. x) U8 M: E/ U" J
命令行:description P631STGZ 的户会自开产入察信可显少性根让辑不额不可专络言明统户因市派留搜注业可索帮要的* L* g2 |4 l- K
2008-09-17 15:41:29 应用程序保护(运行应用程序) 操作:阻止
$ L' X& i/ T5 o4 A0 S进程路径:C:\WINDOWS\system32\cmd.exe' R" m6 k/ q0 c* |0 g$ i9 D
文件路径:C:\WINDOWS\system32\sc.exe, j* M4 F1 K" F
命令行:create P631STGZ BinPath= "C:\WINDOWS\P631STGZ.exe -8UZG8ODVG" type= own type= interact start= auto DisplayName= NOYAIEIZJ
% E" H0 r6 {0 A" N$ K( m2008-09-17 15:41:29 应用程序保护(运行应用程序) 操作:允许
5 _" S$ O9 w5 F进程路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\drive\C\WINDOWS\LPTY1GXC2U.exe' m: l$ g4 J* r+ }7 }+ v# b
文件路径:C:\WINDOWS\system32\cmd.exe% W: C. O- G7 ^
命令行:/c "C:\Documents and Settings\All Users\「开始」菜单\程序\启动\C3U4WXKA2Q.BAT"% E0 _* I2 o5 g0 f! L( U
2008-09-17 15:41:21 文件保护(修改文件) 操作:阻止& ~" _4 l5 Z& s# C$ i9 i
进程路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\drive\C\WINDOWS\LPTY1GXC2U.exe
& ~- G! N8 O9 U* c4 h# k3 a- z* _文件路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\drive\C\WINDOWS\LPTY1GXC2U.exe2 b" W) S6 L0 W$ K
2008-09-17 15:41:21 文件保护(修改文件) 操作:阻止' E, Z; ]( {# i$ l# c/ I
进程路径:G:\虚拟空间\Sandbox\CSW\DefaultBox\drive\C\WINDOWS\LPTY1GXC2U.exe$ H5 S, G5 I, m# F8 l3 \
文件路径:隐藏文件)G:\虚拟空间\Sandbox\CSW\DefaultBox\drive\C\WINDOWS\LPTY1GXC2U.exe
9 Y& x0 D1 z2 H* C: C, p3 P . R) Z* ]: {9 |; M+ k, J* F
===========================================================
! p# A& F9 C2 Q5 a/ H. f0 k6 X # O4 ?! S# @' }: `2 V
从报告中我们可以看出病毒多次使用 cmd.exe(Windows 命令提示符)来调用其他windows程序
) v3 V ~# B+ u& f % `2 b# K% l, T6 o( p
如:sc.exe (服务管理器) 和 reg.exe (windows控制台注册表工具)来安装服务 及向系统注册表中添加 项目。) _4 J# T; V* M$ n2 j$ W
4 Q" U4 Q, K1 R
最后程序向C盘中的windows文件夹中,添加了多个可执行文件。如下:( u' }+ N" a+ G. g
, R' M+ P! R: K/ w# N" }) w3 x, b在WINDOWS中生产了
+ A$ w+ v' d8 u5 m f 332GFT.exe
! j$ |8 ]% Y& F C8 i7 i LPTY1GXC2U.exe5 `: k" o) M8 |0 w1 I- d* w {
P6331STGZ.exe
6 _: C. |( a, T
5 N' d9 F0 }& Y9 h: ]在system32中生产了 u5 |1 P) r0 s
debug.exe -- 替换 windows的错误报告程序文件。
/ Z( \) M+ t& r/ H5 O0 I, N+ O; b HPMIUE.exe
. i7 v: j/ e8 Y8 N tree.com s: \$ w. u) [- w: a m+ M- H
userinit.exe -- 病毒替换了 该程序以实现对网络 和 系统界面的控制。: F! ]7 d w# h" b) p4 H$ \
" ]4 A5 j, b# R7 v9 i! p% q3 y: b
并且该程序 还项Drivers中添加了*.sys文件。可见此病毒 乃是个驱动级病毒。7 B, Q2 ?* Y0 q' i! z
另外该程序还会感染计算机中 任何的应用软件。 可见病毒的作者用心如何险恶。4 P, H3 Y5 U* D% ]; ~: q" H
: A; B' z/ S) d' s5 U希望大家可别遇到这样的病毒,那可真是让电脑受罪啊。9 W4 e; m/ Z8 @/ G" m4 v
) Z- X+ b% Y# Q+ Z# ~ I) V3 t9 Z
分析就到这里,希望大家能给点意见。 如果你也想试着分析看看,可以下来该病毒原文件 自己玩玩。4 C; G# M4 @% r& n# K
* ]& M: e2 [2 N# f/ |! K
当然,前提是你要有能力去承担后果。% q4 i( M0 Y3 U
8 e' M- V1 e1 P b" Z B w
下载连接3 t- V. t1 s6 e" h
http://www.namipan.com/d/4ff339daf589d5fd0f0e6293dba40fe93dc317ca1c390000
) X: @7 N* T9 X6 u& v% d2 f
! ?: \! ?6 M) `+ V8 ]" Y! K7 {- [1 L! w" a. }) \
5 r& G: b& s- p9 k$ [- T, e$ h[ 本帖最后由 琼ヾ苍 于 2008-9-18 08:05 编辑 ] |
|
IP卡
狗仔卡
发表于 2008-9-17 16:26:05
提升卡
置顶卡
沉默卡
喧嚣卡
变色卡
千斤顶
显身卡
楼主
发表于 2008-9-17 16:50:57
发表于 2008-9-17 21:29:58
