0
2008/11/30 
14:34 
549
这是一个结合了机器狗,AV终结者和利用MS08067漏洞攻击的复合型下载者病毒。近几天非常流行,并且预计该病毒在近期会成泛滥之势,希望大家注意!
这个NS下载器继承了机器狗病毒穿还原卡的功能;利用ARP攻击在局域网传播;同时,病毒还有扫荡波的特点,攻击没有修补08-067号漏洞的windows系统。当然利用U盘自动运行功能传播,已经差不多成为病毒的标配。
以下是该病毒的某一变种的分析:
1.病毒运行后,会调用检测是否有调试器存在
并遍历是否存在ImportREC.exe,C32Asm.exe,LordPE.exe,PEditor.exe,OllyICE.exe,OllyDbg.exe等进程,如果是则自身退出。
2.停止如下服务Application Management,Task Scheduler,System Restore Service,Windows Image Acquisition (WIA),Windows Time
3.之后生成如下文件:
%temp%\dll???.dll(???为随机数字)
4..Dll??.dll注入到svchost.exe中,并创建远程线程。(之前会获得系统时间,如果系统年份大于2008则不注入svchost.exe)
Dll??.dll注入svchost.exe后有如下行为:
这个NS下载器继承了机器狗病毒穿还原卡的功能;利用ARP攻击在局域网传播;同时,病毒还有扫荡波的特点,攻击没有修补08-067号漏洞的windows系统。当然利用U盘自动运行功能传播,已经差不多成为病毒的标配。
以下是该病毒的某一变种的分析:
1.病毒运行后,会调用检测是否有调试器存在
并遍历是否存在ImportREC.exe,C32Asm.exe,LordPE.exe,PEditor.exe,OllyICE.exe,OllyDbg.exe等进程,如果是则自身退出。
2.停止如下服务Application Management,Task Scheduler,System Restore Service,Windows Image Acquisition (WIA),Windows Time
3.之后生成如下文件:
%temp%\dll???.dll(???为随机数字)
4..Dll??.dll注入到svchost.exe中,并创建远程线程。(之前会获得系统时间,如果系统年份大于2008则不注入svchost.exe)
Dll??.dll注入svchost.exe后有如下行为:
病毒名称:Worm.Win32.AutoRun.dbp
病毒类型:蠕虫
文件MD5:A1AF3D5C37035B3D0AC5969F01FD0C7A
公开范围:完全公开
文件长度:85,504 字节
感染系统:Windows98以上版本
开发工具:Microsoft Visual C++
加壳类型:ASPack 2.12 -> Alexey Solodovnikov
病毒描述:该病毒为蠕虫类病毒,病毒运行后,获取KERNEL32.DLL基址,动态获取API函数、创建一个:Height=1 Width=1的对话框,判断%system32%\Drivers目录下是否存在"sudami.sys",如存在则将其删除并从新创建一个同名的文件到该目录下,并将文件属性设置为隐藏,修改进程权限、创建注册表病毒服务、获取ntdll.dll基址,动态获取内核函数,使用内核函数ZwLoadDriver加载病毒驱动,创建病毒驱动设备名:"\\.\sudami",调用API函数打开一个网页链接,将创建的对话框设置为最小化,调用函数向该对话框传递消息,驱动文件主要行为:5ms一次遍历多款安全软件进程,如发现就结束掉。
行为分析-本地行为
1、获取KERNEL32.DLL基址,动态获取API函数、CreateDialogParamA创建一个MoveWindow:Height = 1 Width = 1的对话框,判断%system32%\Drivers目录下是否存在"sudami.sys",如存在则将其删除并从新创建一个同名的文件到该目录下,并将文件属性设置为隐藏。
2、文件运行后会释放以下文件
%system32%\Drivers\sudami.sys
3、修改进程权限、获取ntdll.dll基址,动态获取内核函数,使用内核函数ZwLoadDriver加载病毒驱动,创建病毒驱动设备名:"\\.\sudami",调用API函数ShellExecuteA打开一个网页,将创建的对话框设置为最小化,调用函数向该对话框传递消息。
4、驱动文件主要行为:5ms一次遍历多款安全软件进程,如发现就结束掉,被遍历的安全软件进程及名字有:
病毒类型:蠕虫
文件MD5:A1AF3D5C37035B3D0AC5969F01FD0C7A
公开范围:完全公开
文件长度:85,504 字节
感染系统:Windows98以上版本
开发工具:Microsoft Visual C++
加壳类型:ASPack 2.12 -> Alexey Solodovnikov
病毒描述:该病毒为蠕虫类病毒,病毒运行后,获取KERNEL32.DLL基址,动态获取API函数、创建一个:Height=1 Width=1的对话框,判断%system32%\Drivers目录下是否存在"sudami.sys",如存在则将其删除并从新创建一个同名的文件到该目录下,并将文件属性设置为隐藏,修改进程权限、创建注册表病毒服务、获取ntdll.dll基址,动态获取内核函数,使用内核函数ZwLoadDriver加载病毒驱动,创建病毒驱动设备名:"\\.\sudami",调用API函数打开一个网页链接,将创建的对话框设置为最小化,调用函数向该对话框传递消息,驱动文件主要行为:5ms一次遍历多款安全软件进程,如发现就结束掉。
行为分析-本地行为
1、获取KERNEL32.DLL基址,动态获取API函数、CreateDialogParamA创建一个MoveWindow:Height = 1 Width = 1的对话框,判断%system32%\Drivers目录下是否存在"sudami.sys",如存在则将其删除并从新创建一个同名的文件到该目录下,并将文件属性设置为隐藏。
2、文件运行后会释放以下文件
%system32%\Drivers\sudami.sys
3、修改进程权限、获取ntdll.dll基址,动态获取内核函数,使用内核函数ZwLoadDriver加载病毒驱动,创建病毒驱动设备名:"\\.\sudami",调用API函数ShellExecuteA打开一个网页,将创建的对话框设置为最小化,调用函数向该对话框传递消息。
4、驱动文件主要行为:5ms一次遍历多款安全软件进程,如发现就结束掉,被遍历的安全软件进程及名字有:
好多次碰到下载rar等的压缩包下载不完,最后尝试数次不能下载,最后也没想过要修复提取什么的,某天泡网看到一方法,下面收录了放出来,希望能帮到其他的朋友,嘎嘎。
方法:
用WinRAR软件修复
①打开WinRAR,从地址列表中选中已损坏的ZIP(rar)文件。然后用鼠标点击工具栏上的“修复”,在弹出的对话框中选择修复后文件的存放路径。
②选择好路径后,点击“确定”,WinRAR就开始修复受损的ZIP(rar)文件,并显示修复的全过程。
③单击“关闭”按钮,进入修复文件的存放目录,你会发现在该目录下新增了一个“_reconst.rar”或“_reconst.zip(rar)”文件,它就是修复好了的文件。
解压缩。。看看是不是有很多文件 都OK了。。。
From:teyqiu's BLOG
方法:
用WinRAR软件修复
①打开WinRAR,从地址列表中选中已损坏的ZIP(rar)文件。然后用鼠标点击工具栏上的“修复”,在弹出的对话框中选择修复后文件的存放路径。
②选择好路径后,点击“确定”,WinRAR就开始修复受损的ZIP(rar)文件,并显示修复的全过程。
③单击“关闭”按钮,进入修复文件的存放目录,你会发现在该目录下新增了一个“_reconst.rar”或“_reconst.zip(rar)”文件,它就是修复好了的文件。
解压缩。。看看是不是有很多文件 都OK了。。。
From:teyqiu's BLOG
作者:清新阳光 ( http://hi.baidu.com/newcenturysun)
日期:2008/03/29 (转载请保留此声明)
PS:在某人blog发现此病毒分析文章,因为病毒有点早了,但是分析中写到的部分病毒运行方式的技巧不可多得,于是收藏学习,也许还会帮到某人捏。O(∩_∩)O
这是一个使用VB编写的病毒。可以通过U盘等移动存储传播。修改可执行文件图标,映像劫持杀毒软件...
1.病毒启动后,释放如下文件或者副本
%systemroot%\system32\soleboy.exe
%systemroot%\system32\soleboy.txt
各个分区根目录下生成soleboy.exe和autorun.inf达到随移动存储传播的目的。
2.试图结束一些安全工具的进程
比如procexp.exe
U盘病毒免疫器
avgnt.exe
Psview.exe
PowerRmv.exe
ToolsLoader.exe
FrameworkService.exe
...
日期:2008/03/29 (转载请保留此声明)
PS:在某人blog发现此病毒分析文章,因为病毒有点早了,但是分析中写到的部分病毒运行方式的技巧不可多得,于是收藏学习,也许还会帮到某人捏。O(∩_∩)O
这是一个使用VB编写的病毒。可以通过U盘等移动存储传播。修改可执行文件图标,映像劫持杀毒软件...
1.病毒启动后,释放如下文件或者副本
%systemroot%\system32\soleboy.exe
%systemroot%\system32\soleboy.txt
各个分区根目录下生成soleboy.exe和autorun.inf达到随移动存储传播的目的。
2.试图结束一些安全工具的进程
比如procexp.exe
U盘病毒免疫器
avgnt.exe
Psview.exe
PowerRmv.exe
ToolsLoader.exe
FrameworkService.exe
...
