卡巴提示今天到期...只能測到今天了

這邊弄到一個樣本

在只有安裝卡巴的人才會出現這個檔案
叫做bitkv0.dll
這東西讓我這邊卡巴一直當機，而我用卡巴使用的pendmove的方式要移除這檔案
結果馬上pendmove的登錄值被洗掉 0rz

這樣子卡巴刪不了他...

這期間卡巴也一直當，怪。


丟樣本上來：

你終於找到這隻啦
我分析看看

生成檔案

%Temp%\2.bat
%Temp%\���@���S�Ð′o.cmd
%Windir%\Help\B41346EFA848.exe
%Windir%\Help\B41346EFA848.dll

B41346EFA848.dll %Windir%\help\B41346EFA848.dll
調用以下程式
%Windir%\explorer.exe
%ProgramFiles%\messenger\msmsgs.exe
%System%\dllhost.exe
%Windir%\dns\sdnsmain.exe
%ProgramFiles%\internet explorer\iexplore.exe

修改登錄檔
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32]
(Default) = "%Windir%\help\B41346EFA848.dll"
ThreadingModel = "Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}]
(Default) = "SSUUDL"
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
{1DBD6574-D6D0-4782-94C3-69619E719765} = ""

下載檔案
hxxp://mgaazz.com/xxc/ddr1.rar %System%\ddr1.exe


怪 沒有出現 bitkv0.dll
我安裝的是卡巴 KIS2009
實機測試還是沒出現
難道被卡巴擋了嗎

雖然手法很像 隨身碟病毒
但害我高興一下 以為有新技術的病毒出現

[ 本帖最後由 upside 於 2008-9-17 20:31 編輯 ]

奇怪，这个档案被Norton 09处理后就变成22bytes了。。。文件名不变

它的行為像是 Magania 的變種

希望不會像上一次大大的這一篇文章: 關於kis2009被kxvo過的事情 的樣本, 小弟試了2個多鐘也沒有被過的現象
有的話真是萬中無一

[ 本帖最後由 000110 於 2008-9-17 21:31 編輯 ]

關於這個問題我也一直在思考
每個人都使用一樣的防軟
但有人會被過 有人不會
到底是我們對此太熟悉 還是一般使用者的疏忽
還是在某種條件下會被過

引用:

原帖由 upside 於 2008-9-17 21:37 發表
到底是我們對此太熟悉 還是一般使用者的疏忽

這方面就不知了, 不過以該樣本為例, 卡巴的自動模式僅提供了2個需要使用者選擇的提示
而且某些選項有被粗體, 誘導使用者選擇

引用:

原帖由 upside 於 2008-9-17 21:37 發表
還是在某種條件下會被過

暫時只有丫一大大可以複製, 詳細還要請教丫一大大

這我也不清楚，我這邊是一次提示都沒跳過，只有旁邊跳出訊息說加到哪個群組底下這樣

執行樣本之後直接將檔案加到低限制區
但所有病毒動作都一樣照常動作

倒是我自己做的解毒程式一直跳詢問問我要不要阻止....

說真的這樣本我也很納悶
本來一開始我執行 ( 尚未安裝卡巴因為要到期了 )
也是沒有產生該檔案

後來我就安裝卡巴後重開機，卡巴就一直當，但當了自我保護就馬上在起
只是起了之後就又一直當

然後我去看explorer進程，就可以看到B41346EFA848.dll和bittkv0.dll掛載在explorer上面

明天我到公司在將那個dll檔補上，不過沒掛載可能光有檔案也沒什麼用。

而且我這邊測試是這樣，我那邊討論區也是很多人都有這樣的情形
但不知道為何會這樣...

而且我最早一開始第一次裝卡巴2009的時候該樣本就很成功的將所有的病毒阻擋下來
但這一次就都沒辦法...所以更納悶

不過如果bitkv0.dll那檔案掛上去的話應該會比較有趣就是

[ 本帖最後由 sylovanas 於 2008-9-17 23:25 編輯 ]

版本應該是8.0.0.454吧?

http://www.kaspersky.com.tw/KL-Downloads/ProductDownloads.htm

這邊下載的

安裝時就是完全選下一步而已，沒有作任何變動
裝完後讓他自己跑更新，連主介面都沒開過 ( 這一次的樣本 )

不過我是先讓系統中這樣本的毒才安裝的

[ 本帖最後由 sylovanas 於 2008-9-17 23:28 編輯 ]

先中了virus121這個毒後安裝卡巴?

不知道和SSDT HOOK會不會有關係？

在第一次安裝卡巴之前有裝過Eqescure和SBIE
以及某一個有防盜版裝置的遊戲

由於是映像檔所以也有裝酒精52% 那個也有sptd.sys會吃SSDT HOOK
不過後來都移除掉了，包括sptd.sys用冰劍查ssdt hook也沒掛載了...

但那一部分我並不了解，所以是否會和這些東西有關？

如果有可能的話那是真的有機會防護會大打折扣....現在的人都喜歡裝一些有的沒的
尤其是酒精或者是Demon tools那一種的十台裡面有五台會有。

這一次測試是這樣測 ( 因為時間不夠我重新測試，而且本來並沒打算要裝，是沒發現到bitkv0.dll這檔案直覺想到他是針對卡巴所以才裝的 )

上一篇則是都有試過，將病毒移除後在重新安裝卡巴並更新

kavo常見的變種

c:\autorun.inf                                                                 
c:\iwjj.com                                                                     
c:\windows\system32\kavo.exe                                                   
c:\windows\system32\kavo0.dll                                                   
c:\windows\system32\kavo1.dll                                                   
c:\windows\system32\kxvo.exe                                                   
c:\windows\system32\kxvo0.dll                                                   
c:\windows\system32\kxvo1.dll                                                   
c:\windows\system32\tavo.exe                                                   
c:\windows\system32\tavo0.dll                                                   
c:\windows\system32\tavo1.dll                                                   
c:\windows\system32\Bitkv0.dll                                                 
c:\windows\system32\jwedsfdo0.dll                                               
c:\windows\system32\jwedsfdo1.dll                                               
                                                                                
破壞網路驅動                                                                    
c:\windows\system32\drivers\tdi.sys                                             
c:\windows\system32\drivers\psched.sys                                          
c:\windows\system32\drivers\tcpip.sys                                          
                                                                                
j3ewro.exe破壞卡巴斯基驅動 導致無法更新或某些防護出錯
c:\windows\system32\j3ewro.exe                                                
c:\windows\system32\drivers\vga.sys                                             
c:\windows\system32\drivers\klif.sys                                            
                                                                                
寫入每個分割槽                                                                  
autorun.inf                                                                     
nw0t1l0d.exe                                                                    
8tss2gwq.bat                                                                    
ntdelect.com

參考參考


[ 本帖最後由 vaio3388 於 2008-9-18 06:50 編輯 ]

今天在一台電腦中 發現此檔案
Bitkv0.dll
Bitkv1.dll
但客戶安裝 KIS2009 一直會發生 AVP.EXE 錯誤
有時執行後 可以顯示一下 趕緊更新 但一直無法更新成功
但連線並無異常
雖然也有找到 20多隻 KAVO 系列的毒
但並不影響
看了一下 進程中有兩個AVP.EXE
就如ㄚ一大所說 GUI 被關掉
但進程未被結束
不過沒有 GUI 也沒辦法繼續殺毒阿
只能靠手動來殺了

目前還在測試中

[ 本帖最後由 upside 於 2008-9-18 13:35 編輯 ]

上次那個樣本的的問題發生的機率實在很低
而且必須在特定的極端條件下，一般很難遇到這個問題
這個問題發生的主因是由於AD沒有攔截提權行為
造成的，而且KIS的report跟實際上發生的行為有些出入
導致tdi.sys被破壞，重開機後圖示呈灰色，FireWall失去作用
但其它的防護或者是自我保護依然健在，只是因為tdi.sys被破獲
才導致FireWall防護失效，而不是KIS本身被破壞才防護失效

看來要先中毒後安裝卡巴才會有 Bitkv0.dll 的出現

嗯 依客戶的狀況來看 是已經中毒的狀況下
才來購買 KIS2009
  自己中毒了 還怪我們KIS2009有問題不能安裝
就跟他說是中毒引起的問題
他還在那裡半信半疑
唉 現在的客戶越來越不好養
上次還有一個老頭 說是某大學教授勒
自己也是中 KAVO 又不買防毒軟體
他本來說要請學生幫他修
但沒兩天還是跑來找我
當然費用是一定要收的 (才300元)
後來修好後 他竟然跟我要開診斷書 (維修內容)
要註明:
1.如何中毒
2.如何解毒 我是如何去解毒
3.中了那些毒
4.如何避免中毒

最好我是有空去寫那東西 才賺你300元
又不跟我買防毒 要我寫那東西
我才不幹 但是竟然就投訴我
害我被店長臭罵一頓

這個virus121.exe我執行後沒有發生任何惡意行為
在CFP3下也只有這麼一樣行為，但不是惡意行為

嗯 這毒分析出來 有生成一些檔案
但實機測卻沒有出現
我也一直在等那些生成物