‹‹ 上一主題 | 下一主題 ››
發新話題
打印

[測試] 利用svchost.exe安裝服務的後門

Roger

Analyst Expert

Rank: 8Rank: 8

帖子
2376 
精華
1 
威望
5383  
黃金
9635  
註冊時間
2007-3-14 
1# 發表於 2008-1-1 22:11  只看該作者

利用svchost.exe安裝服務的後門

給個病毒的完整行為!
引用:
2008-01-01 20:56:35    執行應用程序      操作:允許
程序路徑:C:\WINDOWS\Explorer.EXE
檔案路徑:D:\app.exe
觸發規則:所有程序規則->系統程式_黑名單->?:\*


2008-01-01 20:56:38    建立檔案      操作:允許
程序路徑:D:\app.exe
檔案路徑:D:\abs.so
觸發規則:所有程序規則->全域設定_普通模式->*


2008-01-01 20:56:41    建立登錄檔值      操作:允許
程序路徑:C:\WINDOWS\system32\services.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IRAT
登錄檔名稱:[Key]
觸發規則:所有程序規則->服務_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*


2008-01-01 20:56:42    安裝服務或驅動      操作:允許
程序路徑:C:\WINDOWS\system32\services.exe
檔案路徑:%SystemRoot%\System32\svchost.exe -k audiosrvc
觸發規則:所有程序規則->*


2008-01-01 20:56:44    建立登錄檔值      操作:允許
程序路徑:C:\WINDOWS\system32\services.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IRAT
登錄檔名稱:ImagePath
登錄檔數值:%SystemRoot%\System32\svchost.exe -k audiosrvc
觸發規則:所有程序規則->服務_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*


2008-01-01 20:56:47    建立檔案      操作:允許
程序路徑:D:\app.exe
檔案路徑:C:\Program Files\IRAT\IRAT.rmvb
觸發規則:所有程序規則->全域設定_普通模式->*


2008-01-01 20:56:49    建立登錄檔值      操作:允許
程序路徑:D:\app.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IRAT\Parameters
登錄檔名稱:ServiceDll
登錄檔數值:C:\Program Files\IRAT\IRAT.rmvb
觸發規則:所有程序規則->服務_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*\Parameters
引用:
2008-01-01 20:57:32    建立檔案      操作:允許
程序路徑:D:\app.exe
檔案路徑:C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\DelEx.bat
觸發規則:所有程序規則->全域設定_可執行檔案1->%SystemDrive%\*.bat


2008-01-01 20:57:34    執行應用程序      操作:允許
程序路徑:D:\app.exe
檔案路徑:C:\WINDOWS\system32\cmd.exe
指令列:/c ""C:\DOCUME~1\HUNGJU~1\LOCALS~1\Temp\DelEx.bat" "
觸發規則:所有程序規則->系統程式_黑名單->*\cmd.exe


2008-01-01 20:57:35    刪除檔案      操作:允許
程序路徑:D:\app.exe
檔案路徑:D:\abs.so
觸發規則:所有程序規則->全域設定_普通模式->*


2008-01-01 20:57:37    刪除檔案      操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:D:\app.exe
觸發規則:所有程序規則->全域設定_可執行檔案1_普通模式->*.exe


2008-01-01 20:57:38    刪除檔案      操作:允許
程序路徑:C:\WINDOWS\system32\cmd.exe
檔案路徑:C:\Documents and Settings\Hung Jui Hung\Local Settings\Temp\DelEx.bat
觸發規則:所有程序規則->全域設定_可執行檔案1->%SystemDrive%\*.bat





經查詢,此 IP 在台北
附件: 您所在的用戶組無法下載或查看附件

TOP

a750828

Gordon

金牌會員

Rank: 6Rank: 6

AMD PowerUser

帖子
4096 
精華
2 
威望
7809  
黃金
4532  
來自
中華民國 R.O.C 
註冊時間
2007-1-20 
2# 發表於 2008-1-1 22:17  只看該作者
McAfee MultiDropper-JD
McAfee上報信箱:Virus_Research@avertlabs.com
加壓ZIP密碼:infected
打破Intel一家獨大局面,支持AMD提供用戶更好的效能表現
AMD Phenom X4 獨"一"無"二" 強"四"登場

TOP

蛋頭

我復活了!!~

Moderator

Rank: 7Rank: 7Rank: 7

蛋頭過暑假

帖子
613 
精華
0 
威望
2262  
黃金
2197  
註冊時間
2007-4-2 

Medal No.10

3# 發表於 2008-1-1 22:30  只看該作者
我映象中 那個GOOGLE 查IP所在地 好像不太準確...

傳說中...有一天我在逛逛朋友的無名布拉格,準備要回覆時,意外的發現這組"認證碼",我黯然的按下F5.....

      蛋頭網 http://255148.3cc.cc

TOP

任性緋紅

Moderator

Rank: 7Rank: 7Rank: 7

帖子
212 
精華
0 
威望
981  
黃金
5378  
註冊時間
2007-7-8 
4# 發表於 2008-1-1 22:42  只看該作者

回復 #3 蛋頭 的帖子

IP查出來的確在台北沒錯= =

話說我剛剛在砍這隻的時候沒有發現
引用:
2008-01-01 20:56:41    建立登錄檔值      操作:允許
程序路徑:C:\WINDOWS\system32\services.exe
登錄檔路徑:HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\IRAT
登錄檔名稱:[Key]
觸發規則:所有程序規則->服務_普通模式->HKEY_LOCAL_MACHINE\SYSTEM\*controlset*\Services\*
gin77729 = 任性緋紅 = 迷糊小書僮

TOP

SPeter

金牌會員

Rank: 6Rank: 6

帖子
1171 
精華
0 
威望
7274  
黃金
7536  
註冊時間
2007-3-13 
5# 發表於 2008-1-1 23:36  只看該作者
ANTIVIR報啟發。
[0] Archive type: RAR
  --> app.exe
      [DETECTION] Contains suspicious code HEUR/Malware
      [WARNING]   The file was ignored!

該不會不久之後又要出現一個「XX歲天才駭客……」之類的吹噓報導吧?
問題是,到底你要相信自己舊有的瘋狂理論,還是你那雙會說謊的眼睛?
∼艾倫•葛林斯潘,《THE AGE OF TURBULENCE》

「他看見了我的靈魂、我的恐懼、我的脆弱、我無能面對一個我假裝很在行的世界,而我對這個世界一無所知。」
∼保羅•科爾賀,《愛的十一分鐘》(Onze Minutos)

TOP

charles1394

高級會員

Rank: 4

帖子
172 
精華
0 
威望
926  
黃金
987  
來自
台灣 
註冊時間
2007-12-17 
6# 發表於 2008-1-2 11:56  只看該作者
下載來試看看,感謝提供測試
測試軟體粉好玩

TOP

vantien

中級會員

Rank: 3Rank: 3

帖子
27 
精華
0 
威望
52  
黃金
62  
註冊時間
2007-12-30 
7# 發表於 2008-1-2 12:01  只看該作者
那個 ip 有可能也只是一台別人的肉雞吧
害客很少會用到自己的機子當接收站的.

TOP

sean666

中級會員

Rank: 3Rank: 3

帖子
60 
精華
0 
威望
202  
黃金
272  
註冊時間
2007-10-19 
8# 發表於 2008-3-11 01:17  只看該作者
這一隻好眼熟,我剛換紅傘的時候中過……
幾下就殺乾淨了,當時還沒用hips。

TOP

shen36930

高級會員

Rank: 4

帖子
264 
精華
0 
威望
812  
黃金
967  
註冊時間
2008-3-13 
9# 發表於 2008-3-14 22:21  只看該作者
ca miss
updata

TOP

riteahxt

中級會員

Rank: 3Rank: 3

帖子
13 
精華
0 
威望
62  
黃金
6  
註冊時間
2007-4-27 
10# 發表於 2008-3-25 12:32  只看該作者
SEP有掃到,但只寫他是木馬

TOP

‹‹ 上一主題 | 下一主題 ››
發新話題