U盤病毒

發表時間: 2008-9-11 21:14 作者: sylovanas 來源: AVPClub Security Home

有人實際中毒後回傳的U盤病毒

2008-09-11 09:13 Virustotal 差不多全滅

Google 無任何資料

附件沒密碼

有興趣的測一下行為吧

看起來應該是木馬下載器

[ 本帖最後由 sylovanas 於 2008-9-11 21:15 編輯 ]

savehive.rar
(2008-09-11 21:14:39, Size: 46.1 kB, Downloads: 27)

我也來說兩句 查看全部評論相關評論

eric7511 (2008-9-11 21:28:19)

費爾托斯特安全V7R3
病毒碼時間：v8.136.49539(2008.09.11. 19:32)
病毒碼數量：1014450
未偵測到威脅
home81 (2008-9-11 21:32:34)

Kaspersky Internet Security 8.0.0.454版本
暫時沒有任何病毒
megakotaro (2008-9-11 22:40:12)

小紅傘：未偵測到威脅
已回報
小艾 (2008-9-11 22:54:10)

TIS 2008 沒有發現病毒。
回報去。
sun88990 (2008-9-12 20:52:41)

McAfee未發現威脅.
wopti (2008-9-12 22:14:12)

驱逐舰没有发现病毒存在
integear (2008-9-12 23:31:50)

"savehive.exe"惡意行為重點:
新增檔案-
C:\autorun.inf (Mal/AutoInf-A [Sophos])
C:\RECYCLER\savehive.exe (Worm:Win32/SillyShareCopy.gen [Microsoft])
%System%\drvmgr.dll (目前尚未有任何TE所測試之廠商偵測)
%System%\shellmgr.dll (目前尚未有任何TE所測試之廠商偵測)

執行中的程序-
savehive.exe

修改程序-
shellmgr.dll->%ProgramFiles%\internet explorer\iexplore.exe
shellmgr.dll->%ProgramFiles%\vmware\vmware tools\vmwareuser.exe

修改登錄檔-
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]->"shellmgr.dll"(Windows啟動時跟著啟動)

可能來源國家-
中國

以上分析內容均為TE分析結果,可參考:http://www.threatexpert.com/repo ... f0ca2a68cb35a10d0e6

威脅評論-
TE上沒有寫出有下載者的行為,另外他還會"吃掉"VMWare,可能會穿虛擬機 .
shisin (2008-9-12 23:50:03)

Panda Antivirus Pro 2009 With DB:2008/09/12

not found
Wan (2008-9-13 08:17:02)

還好我都用微軟牌虛擬機
對我來說梅差
sylovanas (2008-9-13 11:56:57)

QUOTE:
原帖由 integear 於 2008-9-12 23:31 發表
"savehive.exe"惡意行為重點:
新增檔案-
C:\autorun.inf (Mal/AutoInf-A [Sophos])
C:\RECYCLER\savehive.exe (Worm:Win32/SillyShareCopy.gen [Microsoft])
%System%\drvmgr.dll (目前尚未有任何TE所測試之廠商 ...
我在測的時候除了有要修改VM以外 (我讓他修改了 )

另外也有要修改comctl32.dll ( 我也是讓他修改了 )

不過後來去比對SHA1值的時候結果還是原本的數值沒有錯....大概改失敗了吧我猜
upside (2008-9-13 21:51:13)

測試過病毒自我保護還是不夠好
主要它有這四個檔案

C:\autorun.inf 可直接刪除
C:\RECYCLER\savehive.exe 可直接刪除
%System%\drvmgr.dll 可直接可刪除
%System%\shellmgr.dll 需靠強殺刪除這檔案一旦刪除其他檔案就無法再生及作用