吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 4970|回复: 3
收起左侧

[LSG申请] VIPLZM申请加入[LSG](技术途径)

 关闭 [复制链接]
VIPLZM 发表于 2011-2-5 11:50
申请加入LSG下面是病毒样本区两个病毒样本的分析报告
------------------------------------------------------------------------
病毒确认为"TrojanDropper.Agent.aaxa",运行后删除自身、创建互斥体"Iexplore.XPExceptionFilter"并试图下载"mm.txt"
在C盘的Local Settings的Temp目录下生成"106c2n01.dll""mainlist.ini"
-------------------------------------------------------------------------
mainlist.ini内容:
[sh]
t1=106c2n01.dll
-------------------------------------------------------------------------
在C盘的DataStore的Logs目录下生成"tmp.edb"文件
-------------------------------------------------------------------------
替换dllcache中的"6to4.dll"
自我复制到dllcache中,并更名为"systembox.bak"
还在drivers目录下生成恶意驱动程序"WmiSvc.sys"分析发现用于结束安全软件进程
更改DataStore下的Logs中的"edb.log",更改config目录下的"system.log"以及wbem目录下的两个log文件
-------------------------------------------------------------------------
在注册表中创建映像劫持,劫持360、AVAST!、瑞星等软件,键值改为"ntsd -d",意为强制结束进程
-------------------------------------------------------------------------
在HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\Root\LEGACY_6TO4下创建大量键值,小弟不才,分析不出这TM是什么
-------------------------------------------------------------------------
分析完毕,因为是在虚拟机中进行的分析,要贴出分析过程很麻烦,希望流芳大大给予通过

kiss.exe
-------------------------------------------------------------------------
在Temp目录下释放出
kb******.sve的随机数字文件

MyDel_.bat

PdarT619ra0740mI.dat

Perflib_Perfdata_21c.dat等文件并自我复制到Common Files的System目录下进行扩展名重命名,有srd、tmt、cpu等扩展名
还在Application Data目录下释放出RSA文件夹
--------------------------------------------------------------------------
C盘根目录下放出"14.exe""Topy.bat"
在System32的config下释放出0.exe(个人认为是下载者)
在System32目录下放出WinHelp32.exe、改变dsound.dll、olepro32.dll,企图附着在这些系统必须DLL上
在drivers下释放出dk18.hm、PCIDump.sys
--------------------------------------------------------------------------
清空HOSTS文件并加上隐藏、只读等属性
--------------------------------------------------------------------------
映像劫持多种安全软件
--------------------------------------------------------------------------

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

Sloth 发表于 2011-2-5 14:14
LZ太牛了。
要多多向LZ学习。

点评

哪里哪里,你比我牛多了,顺便KALL人来审核啊  发表于 2011-2-5 14:16
Hmily 发表于 2011-2-5 22:11
 楼主| VIPLZM 发表于 2011-2-5 22:56
回复 Hmily 的帖子

圣贤若有错,即改莫徘徊。我非圣贤,孰能无错?人总是有犯错的时候的,若以一次错误就全盘否定别人,岂不笑栽?文强贪污被判死刑了把?但他的功绩却是不可否认的。而且,当巡查与LSG成员的相同之处在那里?我是怀着截然不同的心态来为申请LSG的,上次我已经认识到了自己的错误,是我自己的一时冲动,但是我现在不会再担任巡查一职,而是希望为大家做出共享,为坛子做出共享,我是怀着一颗火热的心来的!
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-14 15:06

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表