有興趣的來挑戰一下,這個樣本連我都差一點就被騙過了
大家來分析看看,看看這個東西是不是病毒

ASPack 2.12 加殼
VB6 設計
是專殺程式嗎 其他沒任何反應
呵呵 分析病毒還在學習

虛擬測試重置 AnyDVD

Software\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E555}
Software\Microsoft\Active Setup\Installed Components\{F146C9B1-VMVQ-A9RC-NUFL-D0BA00B4E888}

[ 本帖最後由 upside 於 2007-12-8 17:30 編輯 ]

這是啥阿= =?

還可以控制重開機= =

我的EQ竟然自動阻止下面這個...





[ 本帖最後由 任性緋紅 於 2007-12-8 17:30 編輯 ]

不是Malware
應該只是Tool

請不要從名稱上來判斷它
AnyDVD是做什麼的大家都應該很清楚
請從它的行為來判斷到底有無問題!

呵呵,作弊一下囉 .

Norman的SandBox根本沒寫啥,只查出加ASPack殼 .

Sunbelt比較詳細:

引用:

新增的檔案:C:\DOCUME~1\Sandbox\LOCALS~1\Temp\~DF59B.tmp

檔案執行順序:Create File: C:\DOCUME~1\Sandbox\LOCALS~1\Temp\~DF59B.tmp
Find File: ‥ _CHAR(0x17)__CHAR(0x01)_\*.tmp
Find File: C:\*.tmp

登錄檔加載:HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\System "EnableLUA"

原始說明,可參考:http://research.sunbelt-software.com/ViewMalware.aspx?id=1841651

看起來沒甚麼特殊行為 .

[ 本帖最後由 integear 於 2007-12-8 18:06 編輯 ]

VT:

引用:

AhnLab-V3        2007.12.8.0        2007.12.07        -
AntiVir        7.6.0.40        2007.12.07        HEUR/Crypted
Authentium        4.93.8        2007.12.07        -
Avast        4.7.1098.0        2007.12.07        -
AVG        7.5.0.503        2007.12.07        -
BitDefender        7.2        2007.12.08        -
CAT-QuickHeal        9.00        2007.12.08        -
ClamAV        0.91.2        2007.12.08        -
DrWeb        4.44.0.09170        2007.12.08        -
eSafe        7.0.15.0        2007.12.06        Suspicious File
eTrust-Vet        31.3.5361        2007.12.08        -
Ewido        4.0        2007.12.07        -
FileAdvisor        1        2007.12.08        Low threat detected
Fortinet        3.14.0.0        2007.12.08        -
F-Prot        4.4.2.54        2007.12.07        W32/Heuristic-162!Eldorado
F-Secure        6.70.13030.0        2007.12.08        -
Ikarus        T3.1.1.12        2007.12.08        -
Kaspersky        7.0.0.125        2007.12.08        -
McAfee        5181        2007.12.08        New Malware.eh
Microsoft        1.3007        2007.12.08        -
NOD32v2        2711        2007.12.07        -
Norman        5.80.02        2007.12.07        -
Panda        9.0.0.4        2007.12.07        Suspicious file
Prevx1        V2        2007.12.08        Generic.Malware
Rising        20.21.42.00        2007.12.07        -
Sophos        4.24.0        2007.12.08        -
Sunbelt        2.2.907.0        2007.12.07        VIPRE.Suspicious
Symantec        10        2007.12.08        -
TheHacker        6.2.9.153        2007.12.07        -
VBA32        3.12.2.5        2007.12.07        -
VirusBuster        4.3.26:9        2007.12.07        -
Webwasher-Gateway        6.6.2        2007.12.08        Heuristic.Crypted

嗯 每家都報不太一樣 多以Malware 為主
難怪卡巴與趨勢沒反應

引用:

原帖由 integear 於 2007-12-8 18:00 發表
呵呵,作弊一下囉 .

Norman的SandBox根本沒寫啥,只查出加ASPack殼 .

Sunbelt比較詳細:



看起來沒甚麼特殊行為 .

重點是 renew trial

online sandbox 會模擬按鈕嗎

選擇Full Reset ，再按Renew Trial

引用:

原帖由 kuririn 於 2007-12-8 19:11 發表


重點是 renew trial

online sandbox 會模擬按鈕嗎

原來如此 .

老實說，今天以前我還真不知道AnyDVD是幹嘛的（應該說聽都沒聽過，因為根本沒有看DVD的時間）……

每個步驟都看的懂，但是目的為何看不懂……

連這個也來繁體中文化

不過 trial 這個字好像一直以來都當試用版解釋

另外可以試著把 comodo 也化一化啊

但好像脫殼後會出錯

回報給McAfee鑑定看看

給一點不算提示的提示...

首先..
一般的破解不會有這麼多動作,尤其是對非被破解軟體之外的行為太多了
從SandBox裡頭我們可以發現,這個破解軟體對註冊表有很多動作

引用:

CreateRegValue        \REGISTRY\MACHINE\SOFTWARE\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E555}\StubPath
CreateRegKey        \REGISTRY\MACHINE\Software\Microsoft\Active Setup\Installed Components\{Y479C6D0-OTRW-U5GH-S1EE-E0AC10B4E555}
ModifyFile        C:\WINDOWS\system32\sc.exe
CreateFile        C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Driver.exe
ModifyRegValue        \REGISTRY\USER\S-1-5-21-448539723-651377827-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{1281886e-f313-11db-99f0-806d6172696f}\BaseClass
ModifyRegValue        \REGISTRY\USER\S-1-5-21-448539723-651377827-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{d3b8cd10-9d15-11dc-9a65-806d6172696f}\BaseClass
ModifyRegValue        \REGISTRY\USER\S-1-5-21-448539723-651377827-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\{12818871-f313-11db-99f0-806d6172696f}\BaseClass
ModifyRegValue        \REGISTRY\USER\S-1-5-21-448539723-651377827-725345543-500\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache
CreateFile        C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DFD76E.tmp

修改sc.exe,這個檔案是用來對系統服務做批次處裡的一個快捷程式,正常軟體沒有理由會修改它
而且還修改MountPoints2底下的註冊表,一般比較常見會去修改MountPoints2的病毒就是映像劫持病毒


以下是犀牛執行後的情形









KAV的PDM情形





Comodo FW情形
















提示到這邊..
考驗一下自己的分析能力,依賴AV公司有時候不見得會得到正確的結果

呵呵,Kaspersky已經回覆了,不過先不講結果吧 .

分析尚未成功,同志仍需努力 !

引用:

原帖由 kuririn 於 2007-12-8 20:31 發表
連這個也來繁體中文化

不過 trial 這個字好像一直以來都當試用版解釋

另外可以試著把 comodo 也化一化啊

但好像脫殼後會出錯

有多重的特殊殼,VT上面有寫,在下忘了貼上 .

嗯 SC 的動作的確很多
難怪在內部一直出現 SC 伺服器動作
是它在搞鬼嗎 不過若只是它
對程式來說 只是個呼叫動作
SC 檔案是系統本身就有的
但發現若執行後 該檔案日期似乎會變成 2001
另外一台未執行過則是 2007
目前還不知是否該程式所致
參考 Y一 的資料 應該是如此
我分析的角度比較不一樣 偏向於該程式如何設計
以程式來看載入一個虛擬驅動程式
的確會如此 酒精 有出現過該訊息
會被卡巴 阻擋詢問
超級魔法兔子 有出現 C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\~DFD76E.tmp
被諾頓直接刪除

[ 本帖最後由 upside 於 2007-12-9 11:54 編輯 ]

我觉得是...