能力值:
( LV2,RANK:10 )
|
-
-
2 楼
忘了上传样本啦,现在补上了,运行的时候一定要小心呀!可能是盗QQ的病毒
相-片.rar
|
能力值:
( LV2,RANK:10 )
|
-
-
3 楼
这是金山沙箱的日志:
2011-11-14 09:03:07 G:\QMDownload\相-片.exe加载库文件D:\Windows\System32\sechost.dll D:\Windows\System32\sechost.dll
2011-11-14 09:03:07 G:\QMDownload\相-片.exe创建注册表键值HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Tcpip\Parameters
2011-11-14 09:03:07 G:\QMDownload\相-片.exe创建文件D:\Windows\System32\598654.jpg D:\Windows\System32\598654.jpg
2011-11-14 09:03:07 G:\QMDownload\相-片.exe写文件D:\KSafeBox\E7A70503\Windows\System32\598654.jpg D:\KSafeBox\E7A70503\Windows\System32\598654.jpg
2011-11-14 09:03:08 G:\QMDownload\相-片.exe创建进程D:\Windows\System32\rundll32.exe D:\Windows\System32\rundll32.exe
2011-11-14 09:03:08 D:\Windows\System32\rundll32.exe创建注册表键值HKEY_USERS\S-1-5-21-1964218018-2040084388-2636161809-1000\Software\Microsoft\Direct3D\MostRecentApplication HKEY_USERS\S-1-5-21-1964218018-2040084388-2636161809-1000\Software\Microsoft\Direct3D\MostRecentApplication
2011-11-14 09:03:08 D:\Windows\System32\rundll32.exe写注册表HKEY_USERS\S-1-5-21-1964218018-2040084388-2636161809-1000\Software\Microsoft\Direct3D\MostRecentApplication HKEY_USERS\S-1-5-21-1964218018-2040084388-2636161809-1000\Software\Microsoft\Direct3D\MostRecentApplication
2011-11-14 09:03:08 D:\Windows\System32\rundll32.exe创建注册表键值HKEY_USERS\S-1-5-21-1964218018-2040084388-2636161809-1000\Software\Microsoft\GDIPlus HKEY_USERS\S-1-5-21-1964218018-2040084388-2636161809-1000\Software\Microsoft\GDIPlus
2011-11-14 09:03:08 D:\Windows\System32\rundll32.exe写文件D:\KSafeBox\E7A70503\Users\fbk88\AppData\Local\GDIPFONTCACHEV1.DAT D:\KSafeBox\E7A70503\Users\fbk88\AppData\Local\GDIPFONTCACHEV1.DAT
2011-11-14 09:03:08 D:\Windows\System32\rundll32.exe加载全局钩子D:\Windows\system32\dwmapi.dll D:\Windows\system32\dwmapi.dll
2011-11-14 09:03:08 D:\Windows\System32\rundll32.exe发送消息D:\Windows\explorer.exe D:\Windows\explorer.exe
2011-11-14 09:03:09 D:\Windows\System32\rundll32.exe操作码:[0:128]D:\Windows\explorer.exe D:\Windows\explorer.exe
2011-11-14 09:03:22 D:\Windows\System32\rundll32.exe加载全局钩子D:\Windows\system32\dwmapi.dll D:\Windows\system32\dwmapi.dll
2011-11-14 09:03:37 G:\QMDownload\相-片.exe操作码:[0:128]E:\Program Files\Tencent\QQ\Bin\QQ.exe E:\Program Files\Tencent\QQ\Bin\QQ.exe
2011-11-14 09:04:08 D:\Windows\System32\rundll32.exe发送消息D:\Windows\explorer.exe D:\Windows\explorer.exe
2011-11-14 09:04:08 D:\Windows\System32\rundll32.exe创建注册表键值HKEY_USERS\S-1-5-21-1964218018-2040084388-2636161809-1000\Software\Microsoft\Windows Photo Viewer\Viewer HKEY_USERS\S-1-5-21-1964218018-2040084388-2636161809-1000\Software\Microsoft\Windows Photo Viewer\Viewer
2011-11-14 09:04:08 D:\Windows\System32\rundll32.exe写注册表HKEY_USERS\S-1-5-21-1964218018-2040084388-2636161809-1000\Software\Microsoft\Windows Photo Viewer\Viewer HKEY_USERS\S-1-5-21-1964218018-2040084388-2636161809-1000\Software\Microsoft\Windows Photo Viewer\Viewer
2011-11-14 09:13:29 G:\QMDownload\相-片.exe发送消息E:\Program Files\Maxthon3\Bin\Maxthon.exe E:\Program Files\Maxthon3\Bin\Maxthon.exe
2011-11-14 09:50:09 G:\QMDownload\相-片.exe发送消息E:\Program Files\Tencent\QQ\Bin\QQ.exe E:\Program Files\Tencent\QQ\Bin\QQ.exe
2011-11-14 09:50:10 G:\QMDownload\相-片.exe结束进程E:\Program Files\Tencent\QQ\Bin\QQ.exe E:\Program Files\Tencent\QQ\Bin\QQ.exe
2011-11-14 09:50:55 G:\QMDownload\相-片.exe发送消息E:\Program Files\Tencent\QQ\Bin\QQ.exe E:\Program Files\Tencent\QQ\Bin\QQ.exe
2011-11-14 09:50:55 G:\QMDownload\相-片.exe结束进程E:\Program Files\Tencent\QQ\Bin\QQ.exe E:\Program Files\Tencent\QQ\Bin\QQ.exe
2011-11-14 09:50:55 G:\QMDownload\相-片.exe结束进程E:\Program Files\Tencent\QQ\Bin\QQ.exe E:\Program Files\Tencent\QQ\Bin\QQ.exe
2011-11-14 09:50:55 G:\QMDownload\相-片.exe发送消息E:\Program Files\Tencent\QQ\Bin\QQ.exe E:\Program Files\Tencent\QQ\Bin\QQ.exe
2011-11-14 09:51:41 G:\QMDownload\相-片.exe发送消息E:\Program Files\Tencent\QQ\Bin\QQ.exe E:\Program Files\Tencent\QQ\Bin\QQ.exe
2011-11-14 09:51:41 G:\QMDownload\相-片.exe结束进程E:\Program Files\Tencent\QQ\Bin\QQ.exe E:\Program Files\Tencent\QQ\Bin\QQ.exe
2011-11-14 09:52:22 G:\QMDownload\相-片.exe发送消息E:\Program Files\Tencent\QQ\Bin\QQ.exe E:\Program Files\Tencent\QQ\Bin\QQ.exe
2011-11-14 09:52:22 G:\QMDownload\相-片.exe结束进程E:\Program Files\Tencent\QQ\Bin\QQ.exe E:\Program Files\Tencent\QQ\Bin\QQ.exe
2011-11-14 09:52:22 G:\QMDownload\相-片.exe结束进程E:\Program Files\Tencent\QQ\Bin\QQ.exe E:\Program Files\Tencent\QQ\Bin\QQ.exe
2011-11-14 09:52:22 G:\QMDownload\相-片.exe发送消息E:\Program Files\Tencent\QQ\Bin\QQ.exe E:\Program Files\Tencent\QQ\Bin\QQ.exe
到后来我只要启动QQ,鼠标在密码框一直闪动,没有办法输入,太可恨了。登录飞信的时候就没这种情况
|
能力值:
( LV2,RANK:10 )
|
-
-
4 楼
360杀毒,金山毒霸都对它没有反应,云鉴定也是认为是安全的
|
能力值:
( LV2,RANK:10 )
|
-
-
5 楼
用PEID刚才查了下壳是:ASPack 2.12 -> Alexey Solodovnikov,这个我也不敢弄呀,怎么才能安全的脱壳呢?
|
能力值:
( LV2,RANK:10 )
|
-
-
6 楼
管他的 直接删了 
|
能力值:
( LV2,RANK:10 )
|
-
-
7 楼
用FFI能够把它脱壳了,而且还得脱两次,最后发现是:
MD5: 71186E9B9F79395DCD56D1EB3DA12D83
Borland Delphi v6.0 - v7.0
|
能力值:
( LV2,RANK:10 )
|
-
-
8 楼
能否看出这个程序有什么动作吗?
|
能力值:
( LV2,RANK:10 )
|
-
-
9 楼
建议用影子系统 或者系统正常的时候备份一下 现在就360急救箱扫下吧
|
能力值:
( LV2,RANK:10 )
|
-
-
10 楼
Dr.Web可以查杀到 Trojan.PWS.Banker.61655木马特征。
还有Ikarus也可以查杀到 Trojan-PWS.Win32.QQPass木马特征。
卡巴斯基也可以查杀到 Trojan-PSW.Win32.QQPass.aoeb木马特征。
世界杀毒网提交了这个压缩包的记录达到5次,最早的是13号早上接近八点的时候,那个报告报毒率还是很高的,接着接近十点的时候又提交了第二次,报告显示几乎很少有能查杀出来的杀毒软件了。
这个恶意程序的免杀方式真是太他妈的先进了。肯定对系统底层非常了解,而且熟悉杀毒软件的杀毒方式,非常牛逼啊。。。
收藏了,谢谢你提供样本哈~~~哇咔咔。。
最后提供下,金山安全卫士的提示,只要一运行那程序,安全卫士自动跳出来木马特征了。
看到你有金山安全卫士正在运行,至于为何没有提示,也许被你弄到了白名单信任列表了,你打开安全卫士的木马查杀界面,看下面的,信任列表,进去看看有没有、相-片.exe‘这个程序,有就删除,然后应该会自动报毒了。然后你再进行,深度扫描。
或者你直接把该程序拉到黑名单即可。
|
能力值:
( LV2,RANK:10 )
|
-
-
11 楼
现在的免杀技术是越来越厉害了
|
能力值:
( LV2,RANK:10 )
|
-
-
12 楼
Process ThreadID API Argument
相-片.exe 3804 FindWindowA TXGuiFoundation, QQ2011
这是它运行时的动作,这明显是在不停找QQ登录窗口,然后盗取密码。但是,并没有监测到有联网行为,所以至于盗取密码后的行为,就不太清楚了,这就需要详细的分析了。
这是微软抓的报告:Microsoft 1.7801 2011.11.13 PWS:Win32/QQpass.CJR
可以确定是典型的盗取QQ密码的木马,在我的PC中我的QQ一直是记住密码的,但是当运行这个程序后,再登录QQ,密码框就自动为空了,这时如果输入密码,就很有可能会被盗取。
至于其他的就需要详细分析了
|
能力值:
( LV2,RANK:10 )
|
-
-
13 楼
木马这么厉害呀,大牛都没有什么解答。我这菜鸟更是一头雾水
|
能力值:
( LV2,RANK:10 )
|
-
-
14 楼
C.I.M.A报告,结果是无毒……
http://camas.comodo.com/cgi-bin/submit?file=b80ecd2dca4c62362137aef5293fdc188feb551da09e1f3293aa16c9e4096263
可能是我设置的关系,MD只有下面几条……不知道为什么,还特意安装了QQ。没QQ啥也没有……
2011-11-15 12:50:43 向其他进程发送消息 允许
进程: c:\documents and settings\ok\桌面\相-片\相-片_unpacked_unpacked.exe
目标: c:\program files\tencent\qq\bin\qq.exe
消息: WM_SETFOCUS
规则: [应用程序]*
2011-11-15 12:50:43 底层键盘操作 允许
进程: c:\documents and settings\ok\桌面\相-片\相-片_unpacked_unpacked.exe
规则: [应用程序]*
2011-11-15 12:50:43 操控其他进程的窗口 允许
进程: c:\documents and settings\ok\桌面\相-片\相-片_unpacked_unpacked.exe
目标: c:\program files\tencent\qq\bin\qq.exe
规则: [应用程序]*
2011-11-15 12:50:44 创建新进程 允许
进程: c:\documents and settings\ok\桌面\相-片\相-片_unpacked_unpacked.exe
目标: c:\windows\system32\rundll32.exe
命令行: "rundll32.exe" C:\WINDOWS\system32\shimgvw.dll,ImageView_Fullscreen C:\Documents and Settings\ok\桌面\相-片\598654.jpg
规则: [应用程序]*
|
能力值:
![]()
(RANK:20 )
|
-
-
15 楼
这个:
_http://bbs.360.cn/3229787/251799962.html?recommend=1
|
能力值:
( LV2,RANK:10 )
|
-
-
16 楼
同意用影子系统或沙盘的意见
看看它到底要干些什么
杀毒软件并不可靠
|
能力值:
( LV2,RANK:10 )
|
-
-
17 楼
360可以杀他!~
|
|
|
|
