查看文章 |
前言: 在剑盟的样本区看到的样本一个,行为较为恶劣! XDI=KE$XDI$K$E+XD#=I$KEX$DI+$K=EXD#IK#EX=D$I#KE=X$D##I$K#EX#D=I=+K#+EXD+$I==K$#E=+XD+=IKEX+DIKE$=X 样本信息: 又只有少得可怜的三家报了: 卡巴斯基 5.5.10 2007.11.30 2007-11-30 Trojan-Clicker.Win32.Agent.ob 4.919 文件名称 : QQ.exe +IK+#E==X#D+=I+KEXD$IK$EX$+D$#IKE#=X#D=$I+=KE#X+=D+=I$KE+XD#IKE$#X#+D#+IK+EXD$IK#E+$X+$DIKE##XDI++K=EXD 文件改动: 创建: C:\1196396962.bat 下面两个的文件名不定,可能是SVCH0ST.EXE、SVCH05T.EXE、SVOHCST.EXE等与svchost.exe较为接近的文件名: 删除: C:\WINDOWS\Media\Windows XP 开始.wav 用一个自身(大小为1830024 byte)覆盖部分分区下的部分exe和com文件!貌似不是对所有的都敢兴趣,我这里只是覆盖了D盘下的部分文件里面的文件,还有部分文件变得很大,但也是无法修复的…… #DIK#=E$$XD#$I#KE$X#DI#K#EX=D+I=K$=EXD+I+=KEXDI#KE$XDI$KE#X+$D=I=+K+E$X$DI$=K+E=#X$$D##IKEXD+I 注册表改动: 创建: 创建服务SVCHOSTdriver: 删除: 安全模式报废了: 把run的启动项都被删除掉…… +X+DIKE+X$=D=IK=+EXD#+I#KE$XD=IKE=X=DI+KE+XDI$K+E#X=DIK=#E=X$D$I$#KE#XD#I#K+E#X++DI##K+E#=X#DIKE=X 运行C:\1196396962.bat,批处理的部分内容: regsvr32.exe /s C:\mpvisc.dll 就是注册病毒的文件C:\mpvisc.dll并反注册部分系统文件wmp.dll、vbscript.dll以及jscript.dll $+XD=I=KEX+D=#I$K=E#XD+IK#E#X=DIK$$E=$X$DIK+=E#X#+DI=$K+E#X$D#I$#KEXD#I#K+EX$DIK=EXD+IK#EX$DI#KEXDI 其他方面: 会利用批处理先把系统时间改为2004-08-17 20:00:00.00,之后再改回来; 企图启动名为ctmonedriver的服务,但我这里未见它创建,google了一下未果; C:\Program Files\Internet Explorer\SVCH0ST.EXE会大量的刷流量,部分站点还有毒…… $I=+K+E##X=DI$K+$EX+=D$$I=#KEX+DIKE$=XD##I+KEX=$DI$+K$E#$XD$$I#K=EXDIKEX#D#$I=#K$E+=XD=I#+KEX==D$$I$$KE==XD 最后: 这个东西的行为较为恶劣,中招了被覆盖的文件也就没有了,中招的同志节哀吧; 他的随机文件名比较新奇,不像是以前那样只是毫无意义的一堆数字和字母,然人一看就知道有问题; 而刷流量时开启N个进程,搞得机子卡卡的;总的来说,这是个行为比较恶劣的东西! E=$X#D++I$=K=E=XD==IK#$EXDI#KE$X=D#I#=K+EXDIKE+XD#+I#K+=E=X#DIK$E=$XDI#$KEXD=I=KE$X=$D=I+$K$=EX$DI=+KE 转载请保留声明!(http://hi.baidu.com/dikex/blog/item/36300afa339a8c889e5146f5.html) 作者dikex(六翼刺猬),原文链接:http://hi.baidu.com/dikex/blog/item/336ff3bfaa7c4d0918d81f5d.html |
