VIPLZM 发表于 2011-2-5 11:50

VIPLZM申请加入[LSG](技术途径)

申请加入LSG下面是病毒样本区两个病毒样本的分析报告
------------------------------------------------------------------------
病毒确认为"TrojanDropper.Agent.aaxa",运行后删除自身、创建互斥体"Iexplore.XPExceptionFilter"并试图下载"mm.txt"
在C盘的Local Settings的Temp目录下生成"106c2n01.dll""mainlist.ini"
-------------------------------------------------------------------------
mainlist.ini内容:

t1=106c2n01.dll
-------------------------------------------------------------------------
在C盘的DataStore的Logs目录下生成"tmp.edb"文件
-------------------------------------------------------------------------
替换dllcache中的"6to4.dll"
自我复制到dllcache中,并更名为"systembox.bak"
还在drivers目录下生成恶意驱动程序"WmiSvc.sys"分析发现用于结束安全软件进程
更改DataStore下的Logs中的"edb.log",更改config目录下的"system.log"以及wbem目录下的两个log文件
-------------------------------------------------------------------------
在注册表中创建映像劫持,劫持360、AVAST!、瑞星等软件,键值改为"ntsd -d",意为强制结束进程
-------------------------------------------------------------------------
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_6TO4下创建大量键值,小弟不才,分析不出这TM是什么
-------------------------------------------------------------------------
分析完毕,因为是在虚拟机中进行的分析,要贴出分析过程很麻烦,希望流芳大大给予通过

kiss.exe
-------------------------------------------------------------------------
在Temp目录下释放出
kb******.sve的随机数字文件

MyDel_.bat

PdarT619ra0740mI.dat

Perflib_Perfdata_21c.dat等文件并自我复制到Common Files的System目录下进行扩展名重命名,有srd、tmt、cpu等扩展名
还在Application Data目录下释放出RSA文件夹
--------------------------------------------------------------------------
C盘根目录下放出"14.exe""Topy.bat"
在System32的config下释放出0.exe(个人认为是下载者)
在System32目录下放出WinHelp32.exe、改变dsound.dll、olepro32.dll,企图附着在这些系统必须DLL上
在drivers下释放出dk18.hm、PCIDump.sys
--------------------------------------------------------------------------
清空HOSTS文件并加上隐藏、只读等属性
--------------------------------------------------------------------------
映像劫持多种安全软件
--------------------------------------------------------------------------

Sloth 发表于 2011-2-5 14:14

LZ太牛了。
要多多向LZ学习。

Hmily 发表于 2011-2-5 22:11

鉴于你之前的过分行为申请不通过.

VIPLZM 发表于 2011-2-5 22:56

回复 Hmily 的帖子

圣贤若有错,即改莫徘徊。我非圣贤,孰能无错?人总是有犯错的时候的,若以一次错误就全盘否定别人,岂不笑栽?文强贪污被判死刑了把?但他的功绩却是不可否认的。而且,当巡查与LSG成员的相同之处在那里?我是怀着截然不同的心态来为申请LSG的,上次我已经认识到了自己的错误,是我自己的一时冲动,但是我现在不会再担任巡查一职,而是希望为大家做出共享,为坛子做出共享,我是怀着一颗火热的心来的!
页: [1]
查看完整版本: VIPLZM申请加入[LSG](技术途径)