好友
阅读权限20
听众
最后登录1970-1-1
|
申请加入LSG下面是病毒样本区两个病毒样本的分析报告
------------------------------------------------------------------------
病毒确认为"TrojanDropper.Agent.aaxa",运行后删除自身、创建互斥体"Iexplore.XPExceptionFilter"并试图下载"mm.txt"
在C盘的Local Settings的Temp目录下生成"106c2n01.dll""mainlist.ini"
-------------------------------------------------------------------------
mainlist.ini内容:
[sh]
t1=106c2n01.dll
-------------------------------------------------------------------------
在C盘的DataStore的Logs目录下生成"tmp.edb"文件
-------------------------------------------------------------------------
替换dllcache中的"6to4.dll"
自我复制到dllcache中,并更名为"systembox.bak"
还在drivers目录下生成恶意驱动程序"WmiSvc.sys"分析发现用于结束安全软件进程
更改DataStore下的Logs中的"edb.log",更改config目录下的"system.log"以及wbem目录下的两个log文件
-------------------------------------------------------------------------
在注册表中创建映像劫持,劫持360、AVAST!、瑞星等软件,键值改为"ntsd -d",意为强制结束进程
-------------------------------------------------------------------------
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_6TO4下创建大量键值,小弟不才,分析不出这TM是什么
-------------------------------------------------------------------------
分析完毕,因为是在虚拟机中进行的分析,要贴出分析过程很麻烦,希望流芳大大给予通过
kiss.exe
-------------------------------------------------------------------------
在Temp目录下释放出
kb******.sve的随机数字文件
MyDel_.bat
PdarT619ra0740mI.dat
Perflib_Perfdata_21c.dat等文件并自我复制到Common Files的System目录下进行扩展名重命名,有srd、tmt、cpu等扩展名
还在Application Data目录下释放出RSA文件夹
--------------------------------------------------------------------------
C盘根目录下放出"14.exe""Topy.bat"
在System32的config下释放出0.exe(个人认为是下载者)
在System32目录下放出WinHelp32.exe、改变dsound.dll、olepro32.dll,企图附着在这些系统必须DLL上
在drivers下释放出dk18.hm、PCIDump.sys
--------------------------------------------------------------------------
清空HOSTS文件并加上隐藏、只读等属性
--------------------------------------------------------------------------
映像劫持多种安全软件
--------------------------------------------------------------------------
|
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|