好友
阅读权限20
听众
最后登录1970-1-1
|
吾爱看雪
发表于 2018-8-9 23:04
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 吾爱看雪 于 2018-8-9 23:44 编辑
对OSO病毒的一次简单分析
由于病毒比较古老,而且网上样本一艘一大把,就不上传样本了。
病毒分析报告:OSO.exe
病毒名称:oso.exe 卡巴:trojan-win32.QQPass.jh 金山:win32.troj.QQPass.jn.96897
病毒大小:96,897字节
传播方式:网络下载、局域网传播、可疑动存储传播
病毒类型:QQ木马、U盘病毒
加壳发式:未加壳
编写语言:Borland Delphi 6.0 -7.0
指纹效验:
MD5 :0A2BA47887C20ABBB42D0A1DD436D9B4
RIPEMD-160 :A5753783E8D314F21D64CCCCA4352650EE4CCB6E
CRC-32 : 55B5B466
测试平台:win2000proSP4 + VM
释放文件:severe.exe、tfidma.dll、tmidma.exe、conime.exe、oso.exe、autorun.inf、hx1.bat、
病毒分析:
Oso.exe运行后释放severe.exe、tfidma.dll、tmidma.exe到%windir%\system32\下,释放conime.exe到%windir%\system32\drivers\下,开启severe.exe、tmidma.exe、conime.exe三个主进程调用rtutils.dll线程互守,通过修改注册表插入winlogon.exe进程实现登陆后启动;病毒通过修改注册表映像劫持,导致开启注册表编辑器等等一些程序会跳转到病毒所在目录运行病毒程序而不运行当前执行的任务;添加host使打开一些杀软的官方网址自动跳转到病毒指定网址;修改系统时间为2004-1-22;释放oso.exe和autorun.inf到d/e/f/g/h/i盘根目录下;使用GetWindow、GetKeyState、GetAsyncKeyState、FindWindowExA、FindWindowA、DefWindowProcA、CreateWindowExA等函数关闭含有如下字串的窗口:
使用net和sc命令关闭如下进程且禁用服务:
file:///Z:/msohtml1/03/clip_image014.jpg
注册表启动项:
修改:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
字符串: "Explorer.exeC:\WINNT\system32\drivers\conime.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
字符串: "0"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:b5
新建:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\adamrf
键值: 字符串:"C:\WINNT\system32\tfidma.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tfidma
键值: 字符串:"C:\WINNT\system32\severe.exe"
关联映像劫持:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\*.被劫持程序 \
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\*.被劫持程序e\Debugger
键值: 字符串:"C:\WINNT\system32\drivers\adamrf.exe"
Autorun.inf内容:
[AutoRun]
open=OSO.exe
shellexecute=OSO.exe
shell\Auto\command=OSO.exe
hx1.bat内容:
@echo off
set date=2004-1-22
ping ** localhost > nul
date %date%
del %0
病毒查杀:
使用下述批处理配合NTSD –c q -pPID命令获取病毒进程并停止进程,删除被映像劫持的注册表项,删除病毒文件释放文件即可;或者使用相关程序取消映像劫持,在进行病毒文件删除。
echo wscript.echo "PID ProcessName">>proess.vbe
echo for each ps in getobject
("winmgmts:\\.\root\cimv2:win32_process").instances_>>proess.vbe
echo wscript.echops.handle^&vbtab^&ps.name>>proess.vbe
echo next>>proess.vbe
cscript proess.vbe
病毒防范:
系统目录设置权限,在新建oso.exe文件到d/e/f/g/h/i根目录下取消所有用户的所有权限,使用防火墙关闭或审核本地137、138、端口。 |
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
