Trojan.Win32.KillAV.fqi 鬼影病毒

沁妍万岁

病毒名称：Kaspersky：Trojan.Win32.KillAV.fqi
          NOD32：-
          Rising：-Trojan.Win32.KillAV.csw
VT扫描时间：2010.03.17 07:53:39 (UTC)
VAS Lab编号：100317006
VAS Lab地址：http://hi.baidu.com/eqsyssecurity
病毒大小：50.4 KB (51,631 字节)
MD5码：F377E0F7C8F1A37CD5C92CF7AEA3C8F7
伪造数字签名：-
测试平台： WinXP SP3系统       EQSecurity（HIPS） 实机
测试说明：http://hi.baidu.com/eqsyssecurity/blog/item/f0eda3f08e5b15c57831aa7c.html
联系Mail：vas@jj.tc
联系BBS：http://www.hipschina.com
病毒行为：
注：本分析可能为多次运行测试结果汇总  因此时间可能会混乱

运行后直接操作系统内核

2010-03-17 15:37:15    直接操作系统内核      
进程路径:E:\KIA\1.exe
触发规则:所有程序规则->*

读取其他进程内存

2010-03-17 15:37:21    读取其它进程内存      
进程路径:E:\KIA\1.exe
目标进程:C:\WINDOWS\system32\csrss.exe
触发规则:所有程序规则->进程保护->%systemroot%\system32\csrss.exe

2010-03-17 15:37:39    读取其它进程内存      
进程路径:E:\KIA\1.exe
目标进程:C:\WINDOWS\system32\services.exe
触发规则:所有程序规则->进程保护->%systemroot%\system32\services.exe

2010-03-17 15:37:39    读取其它进程内存      
进程路径:E:\KIA\1.exe
目标进程:C:\WINDOWS\system32\svchost.exe
触发规则:所有程序规则->进程保护->%systemroot%\System32\svchost.exe

向Program files\MSDN\目录写入sys

2010-03-17 15:37:29    创建文件      
进程路径:E:\KIA\1.exe
文件路径:C:\Program files\MSDN\atixx.sys
触发规则:所有程序规则->文件阻止及保护->?:\*.sys

向DRIVERS目录创建、删除tmp

2010-03-17 15:37:32    创建文件      
进程路径:E:\KIA\1.exe
文件路径:C:\WINDOWS\system32\DRIVERS\SET21.tmp
触发规则:所有程序规则->系统核心目录Ⅰ>%systemroot%\system32\drivers\*

2010-03-17 15:37:34    删除文件     
进程路径:E:\KIA\1.exe
文件路径:C:\WINDOWS\system32\DRIVERS\SET21.tmp
触发规则:所有程序规则->系统核心目录Ⅱ>%systemroot%\system32\drivers\*

向DRIVERS目录创建SYS

2010-03-17 15:37:38    创建文件      
进程路径:E:\KIA\1.exe
文件路径:C:\WINDOWS\system32\DRIVERS\atixx.sys
触发规则:所有程序规则->系统核心目录Ⅰ>%systemroot%\system32\drivers\*

安装服务或驱动

2010-03-17 15:38:04    创建注册表值      
进程路径:C:\WINDOWS \system32\services.exe
M注册表路径:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\atixx
注册表名称:[Key]
触发规则:所有程序规则->服务相关>HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*

2010-03-17 15:38:06     安装服务或者驱动      
进程路径:C:\WINDOWS \system32\services.exe
文件路径:C:\WINDOWS \system32\DRIVERS\atixx.sys
触发规则:应用程序规则->系统程序>%systemroot%\system32\services.exe

向TEMP创建自删除BAT  并调用

2010-03-17 15:38:12    创建文件      
进程路径:E:\KIA\1.exe
文件路径:C:\Documents and Settings\Administrator\Local Settings\Temp\t.bat
触发规则:所有程序规则->Documents and Settings->?:\Documents and Settings\*.bat

2010-03-17 15:38:25    运行应用程序      
进程路径:E:\KIA\1.exe
文件路径:C:\WINDOWS\system32\cmd.exe
命令行:/c ""C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\t.bat" "
触发规则:高优先规则->In Side->%systemroot%\system32\cmd.exe

BAT内容

:try
del "E:\KIA\1.exe"
if exist "E:\KIA\1.exe" goto try
del %0

联网行为：


关键行为：

操作系统内核
向系统目录创建SYS
安装服务或驱动
读取其他进程内存

防范对策：

使用HIPS阻止陌生程序操作系统内核
使用HIPS阻止陌生程序向系统目录创建SYS
使用HIPS阻止程序安装服务或驱动
使用HIPS阻止陌生程序读取其他进程内存





解压密码:virus

Hmily

感谢发布行为分析.

zzage

谢谢,但附件样本密码是？....

695052741

很详细额
支持一下！

745327354

顶顶顶顶顶

134679aa

感谢发布行为分析

alxe1528

哦！@~！~！~！~！谢谢@~~！~

HPKEr

在论坛上看过一篇金山公司反病毒工程师关于鬼影病毒分析，挺厉害的一种引导区病毒。

sj211266

感谢发布对策分析

byxxdrls

想看到写MBR的动作