關於kis2009被kxvo過的事情

發表時間: 2008-9-16 12:06 作者: sylovanas 來源: AVPClub Security Home

這邊有拿到一個樣本是kxvo.exe相關的

應該是最近的

由於之前我在測試的時候在已經有中毒的情形下安裝了kis2009之後依舊能夠很輕鬆的將相關的所有檔案全部清除

但這一次kis2009只有將cc.exe和ff.exe加到低限制模組底下

但我看了一下動作cc.exe和ff.exe還是有在做替換tdi.sys的動作存在 ( 另外有裝 EQSecure )
cc.exe和ff.exe也嘗試要將avp.exe關閉不過失敗

所以想確認一下有沒有哪個地方需要特別設定的，一樣 KIS2009 是完全預設值安裝，沒有做過任何更動。

丟樣本上來

我猜應該是我沒設好或者是系統是已經在被攻破的情形下安裝所以沒效。

catchme.zip
(2008-09-16 12:06:28, Size: 101 kB, Downloads: 10)

我也來說兩句 查看全部評論相關評論

upside (2008-9-16 12:16:21)

我是幫客戶安裝 KAV2009
沒想到第二天它就被過了
第三天客搬回來說無法上網
果然一看就是 TDI.SYS 被置換
不過 KAV2009 更新依然正常
不像7.0 連更新都沒辦法

c:\3jkka91.com
c:\autorun.inf
%System%\jwedsfdo0.dll
%System%\jwedsfdo1.dll
%System%\jwedsfdo2.dll

jwedsfdo2.dll %System%\jwedsfdo2.dll 被調用 %Windir%\explorer.exe

[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run]
jvsoft = "%System%\j3ewro.exe"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL]
CheckedValue = 0x00000000

hxxp://xxx/cc1.rar %Temp%\cc1.rar

[ 本帖最後由 upside 於 2008-9-16 12:38 編輯 ]
sylovanas (2008-9-16 12:47:17)

第三次重開機後

KIS偵測到j3ewro.exe為風險軟體，問我要不要封鎖他
直接按封鎖之後j3ewro.exe加入到未信任模組下

加入後等個幾分鐘重開機
同樣的情形變成kxvo.exe，一樣加到未信任模組下
然後再重開機

一樣被掛載

似乎和啟動時的載入優先順序有關的樣子...

在AVP.EXE還沒有載入的時候卡巴不知道會將未信任的模組內的檔案做什麼處理。

還是沒碰到Bitkv0.dll...不過我那邊看到的災情已經在蔓延了。

不過剛剛將FF.EXE和CC.EXE加入到未信任模組之後FF.EXE和CC.EXE就沒辦法執行了就是。
但同樣位置在未信任模組的kxvo.exe和j3ewro.exe則已經在avp.exe之前執行過並且已經將tdi.sys替換掉。
後面EQ抓到的tdi.sys動作是WFP將檔案還原....

[ 本帖最後由 sylovanas 於 2008-9-16 12:56 編輯 ]
ㄚ一 (2008-9-16 13:03:10)

請兩位注意一下．．．
tdi.sys根本沒有被置換
因為沒有被置換，所以更新正常，網路不能上還有
會被過的原因在於用戶自己選擇給病毒最大的執行權限．．

注意看．．我用的還是一個月前的特徵碼．．．

病毒調用Explorer.exe會進入權限繼承，所有的行為最高只有低受限權限
以下是Log，很明顯因為操作的失誤導致中毒，而非被過．．．
而且我用的還是預設的自動處裡模式．．
QUOTE:
KXVO.EXE (events: 1)
2008/9/16 下午 12:49:27       Placed in group       Low Restricted
2008/9/16 下午 12:49:27       Setting debug privileges             Allowed: KLPrivileges/KLPermissionSystem/KLPermissionPrivileges/KLSetDbgPrivilege
2008/9/16 下午 12:49:27       Low level file system access       Device\HarddiskVolume1\WINDOWS\system32\drivers\tdi.sys       Allowed: KLPrivileges/KLPermissionSystem/KLPermissionSysObjAccess/KLLLFSAccess
2008/9/16 下午 12:49:27       Low level disk access       Device\HarddiskVolume1       Allowed: KLPrivileges/KLPermissionSystem/KLPermissionSysObjAccess/KLLLDiskAccess
KXVO.EXE (events: 1)
2008/9/16 下午 12:50:06       Placed in group       Low Restricted
2008/9/16 下午 12:50:07       Low level file system access       Device\HarddiskVolume1\WINDOWS\system32\drivers\tdi.sys       Allowed: KLPrivileges/KLPermissionSystem/KLPermissionSysObjAccess/KLLLFSAccess
2008/9/16 下午 12:50:07       Low level disk access       Device\HarddiskVolume1       Allowed: KLPrivileges/KLPermissionSystem/KLPermissionSysObjAccess/KLLLDiskAccess
KXVO.EXE (events: 1)
2008/9/16 下午 12:50:44       Placed in group       Low Restricted
2008/9/16 下午 12:50:44       Low level file system access       Device\HarddiskVolume1\WINDOWS\system32\drivers\tdi.sys       Allowed: KLPrivileges/KLPermissionSystem/KLPermissionSysObjAccess/KLLLFSAccess
2008/9/16 下午 12:50:44       Low level disk access       Device\HarddiskVolume1       Allowed: KLPrivileges/KLPermissionSystem/KLPermissionSysObjAccess/KLLLDiskAccess
KXVO.EXE (events: 1)
2008/9/16 下午 12:54:47       Placed in group       High Restricted
KXVO.EXE (events: 1)
2008/9/16 下午 12:54:55       Placed in group       High Restricted
KXVO.EXE (events: 1)
2008/9/16 下午 12:54:32       Placed in group       High Restricted
ㄚ一 (2008-9-16 13:06:48)

EQ跟KAV/KIS 09衝突，你不應該裝兩套HIPS．．
你的樣本在我這裡是沒有你這些問題的
upside (2008-9-16 13:11:40)

嗯我使用的是 KAV 可否請ㄚ一大依一般使用者的習慣來測試
我所販賣的卡巴斯基 10套中不到一套客戶使用 KIS
所以才容易發生被過的現象當然也可能是客戶操作錯誤所造成等等我也來測試該毒
是否會直接過 KAV 2009
另外我看到的狀況 TDI.SYS 已經被置換我已經修復完成
KAV2009 才能更新我所謂更新正常是指它更新的那部份沒有被破壞
而7.0的更新功能被破壞就算恢復 TDI.SYS 7.0的KAV 更新仍然失效
我必須移除後再重裝才能使用
sylovanas (2008-9-16 13:14:47)

QUOTE:
原帖由ㄚ一於 2008-9-16 13:06 發表
EQ跟KAV/KIS 09衝突，你不應該裝兩套HIPS．．
你的樣本在我這裡是沒有你這些問題的
恩這我了解
我也有想到這一點所以我晚點也會測試
另外想請問的就是explorer.exe預設是放在信任群組內
要調整的話大致放在哪裡會比較適合？
低限制或者是高限制？

[ 本帖最後由 sylovanas 於 2008-9-16 13:16 編輯 ]
ㄚ一 (2008-9-16 13:15:05)

KAV 8.0我現在沒有，我KIS的部分就是以一般狀人的情況來測的
而非全手動的方式，KAV 8.0可能因為缺少AF（不確定是否真的缺少）
要測的話可以等我20分鐘，我重新下載安裝一下KAV 8.0

其實這類樣本我記得KAV 7.0也是防的住的，只是我這裡也沒有KAV 7
要測的話還要來灌KAV 7.0就是了
sylovanas (2008-9-16 13:17:55)

KAV 2009 的話我剛剛有測過，功能都會正常
但一樣毒就放行。

可能還是一樣是和EQ衝突的關係吧我猜。
一樣晚點在測
sylovanas (2008-9-16 13:31:37)

QUOTE:
原帖由ㄚ一於 2008-9-16 13:03 發表
請兩位注意一下．．．
tdi.sys根本沒有被置換
因為沒有被置換，所以更新正常，網路不能上還有
會被過的原因在於用戶自己選擇給病毒最大的執行權限．．

http://farm4.static.flickr.com/3161/2861225151_bfa9fc ...
恩.....我一開始的時候是在系統已經有毒的情形下安裝KIS 2009的

所以其實除了後來我自己將相關的檔案加到未信任模組以外
其餘時間卡巴沒有跳出任何提示。想選自己加到未信任都沒的選
而第一次安裝並更新好之後重開機，卡巴顯示郵件防護及哪個防護失效我忘記了
然後我選擇重新安裝，之後就沒損壞過，不過那毒就還是一直在跑....

EQ移掉了晚點來測看看。
ㄚ一 (2008-9-16 13:35:52)

我KAV 8.0直接運行病毒，重開機後tdi.sys還是沒有被修改
但Report裡什麼都沒寫倒是真的，一樣可以上網，KAV 8也一樣可以更新
sylovanas (2008-9-16 13:46:48)

恩....阿一大您這邊執行那樣本的時候有跳出提示說是風險軟體要您決定怎麼處理的那個提示
要怎麼設定？

我這邊執行樣本後他直接跳出提示說切到低限制群組
完全沒有詢問我要怎麼處理
之後看應用程式那邊如下圖：

但其他的像kxvo.exe j3w那一些的就加到未信任模組內沒錯

但重開機後

執行程序檢查軟體如下：

結果還是被執行了....

所以想說是哪邊需要設定一下？
一樣都是安裝好的預設值而已

然後報告是這樣
CODE:
無 (項目： 247) 2008/9/16 上午 11:40:12 低階磁碟存取 Device\HarddiskVolume1 允許: 2008/9/16 上午 11:40:12 低階檔案系統存取 Device\HarddiskVolume1\WINDOWS\system32\drivers\tdi.sys 允許: 2008/9/16 上午 11:40:07 新增至群組低限制無 (項目： 247) 2008/9/16 上午 11:27:20 低階磁碟存取 Device\HarddiskVolume1 允許: 2008/9/16 上午 11:27:20 低階檔案系統存取 Device\HarddiskVolume1\WINDOWS\system32\drivers\tdi.sys 允許: 2008/9/16 上午 11:27:09 新增至群組低限制無 (項目： 247) 2008/9/16 上午 11:26:33 新增至群組信任/Microsoft 無 (項目： 247) 2008/9/16 上午 11:27:13 新增至群組低限制無 (項目： 247) 2008/9/16 上午 11:26:51 新增至群組低限制無 (項目： 247) 2008/9/16 上午 11:31:54 新增至群組信任/Microsoft 無 (項目： 247) 2008/9/16 上午 11:37:09 新增至群組信任/Microsoft 無 (項目： 247) 2008/9/16 下午 01:35:10 低階磁碟存取 Device\HarddiskVolume1 允許: KLPrivileges/KLPermissionSystem/KLPermissionSysObjAccess/KLLLDiskAccess 2008/9/16 下午 01:35:10 低階檔案系統存取 Device\HarddiskVolume1\WINDOWS\system32\drivers\tdi.sys 允許: KLPrivileges/KLPermissionSystem/KLPermissionSysObjAccess/KLLLFSAccess 2008/9/16 下午 01:35:10 設定偵錯權限允許: KLPrivileges/KLPermissionSystem/KLPermissionPrivileges/KLSetDbgPrivilege 2008/9/16 下午 01:35:09 新增至群組低限制無 (項目： 247) 2008/9/16 下午 01:26:48 新增至群組低限制一樣我什麼東西都沒有按，卡巴也沒問我要怎麼處理。

[ 本帖最後由 sylovanas 於 2008-9-16 13:56 編輯 ]
ㄚ一 (2008-9-16 14:03:07)

我什麼都沒有設定，你沒有跑出詢問是因為你的那幾個執行檔已經被歸類到不信任組
所以是因為已經入庫的關係，才沒有提示出現，jwedsfdo0.dll此時應該已經沒有關聯程式了
你可以試著檢查看看，重新開機後什麼程式會調用jwedsfdo0.dll
ㄚ一 (2008-9-16 14:08:51)

我已經檢查過了jwedsfdo0.dll就是用來call kxvo/ff/cc/j3ewro.exe的
以上執行檔全部都已經受到行為監控了
sylovanas (2008-9-16 14:12:53)

不是，您看上面那一張圖，那個3jkka91.com那個，樣本檔是那個檔
執行過之後是跳加入到低限制群組，後來進去選項那邊看的時候才有底下的CC.EXE FF.EXE KXVO.EXE 那幾個檔直接在未信任群組內

但重開機之後就是第二張圖的樣子，那個jwedsfdo0.dll依然掛在explorer.exe底下

後來又再重開機一次，卡巴被宰了，直接駭客防護跳失效。

這段期間依舊完全沒有提示我任何選擇。

然後tdi.sys被刪除，(檔案直接消失了) 我終於實際碰到這情形了，這樣就有應對的方式

[ 本帖最後由 sylovanas 於 2008-9-16 14:17 編輯 ]
ㄚ一 (2008-9-16 14:26:34)

jwedsfdo0.dll是因為已經注入explorer.exe的原因
所以每次開機都會出現．．
KAV/KIS 8取消原本的KAV/KIS 7的dll注入
因為防dll注入效益很低，大部分HIPS也不防，而且只會帶來災難！

目前已知這個樣本應該是個木馬或蠕蟲，因為我發現他會調用iexplorer.exe
不過沒有發現任何封包發出，沒有封包應該跟生程物備受限有關
而防護失效我無法複製你的情況，我的平台重開機了至少五次，防護均依然健在
還有你用EQ跑的時候有發現其它奇怪行為嗎？
sylovanas (2008-9-16 14:36:34)

QUOTE:
原帖由ㄚ一於 2008-9-16 14:26 發表
jwedsfdo0.dll是因為已經注入explorer.exe的原因
所以每次開機都會出現．．
KAV/KIS 8取消原本的KAV/KIS 7的dll注入
因為防dll注入效益很低，大部分HIPS也不防，而且只會帶來災難！

目前已知這個樣本應該是個木 ...
在用EQ測的時候動作是和以前變種完全一樣沒有任何變化

樣本執行 -> 產生驅動檔 -> 掛全局勾子jwedsfdo0.dll 並下載cc.exe或ff.exe那一類的檔案到%temp%資料夾內 ->
產生kxvo.exe 或 j0...exe -> 然後explorer.exe 一直產生 autorun.inf 和樣本檔至各磁碟根目錄 -> 重複產生autorun.inf的動作

但有一個地方不一樣的是
如果沒有裝卡巴的話，該樣本執行產生的驅動檔是klif.sys
如果有裝卡巴的話，則該樣本產生驅動檔為tdi.sys

晚點我在試看看
ㄚ一 (2008-9-16 15:48:45)

這是CFP3的行為，跟EQ幾乎沒有差別
不像是有行為露了導致KAV防護失效
我這邊重開機不只五次了，防護同樣還是在
sylovanas (2008-9-16 15:56:27)

駭客防護會失效基本上我知道是為何了，就是我上一篇打的東西
那個TDI.SYS只要沒這檔駭客防護就會失效。不管有沒有在中毒的狀態
但其他防護還在就是

那個tdi.sys會消失應該是毒要建立那檔結果被檔下來造成缺檔吧我猜

dll檔的話.....由於kxvo.exe那個已經被列到不信任清單內
所以他也就是一直產生autorun.inf檔案而已，並沒有產生相對應的病毒檔案

所以才會有磁碟打不開的情形......

現在疑問是在於一開始執行那樣本時的詢問視窗，為何會一執行就直接加到低限制模組去？
而不是跳出詢問視窗...

這邊看了一下我直覺是中文版和英文版的差別直覺啦...
所以現在跑去下了英文版測試，趁最後一天到期前給他測到爽

[ 本帖最後由 sylovanas 於 2008-9-16 15:58 編輯 ]
ㄚ一 (2008-9-16 16:22:48)

dll還有tdi.sys的我已經幫你回報官方
這個地方我覺得應該是有問題的
剩下就等Develop Team怎麼答覆！

而你問的那個詢問框，正常是不會跳的
我會跳框是因為我的特徵庫是一個月以前的
你的特徵庫是新的，因為調用的是目前已入庫的東西
所以直接封鎖而不詢問，這個部分是正常的
sylovanas (2008-9-16 16:24:26)

啊....我頭好大

英文版的連未信任名單都沒登進去0rz

如下圖：一樣運行樣本之後直接顯示加到低限制區
之後就都沒顯示，但檔案一樣產生並且也有在跑。

然後產生的檔案，刪除掉之後隔幾秒在產生

真的很怪。

阿一大不好意思一直麻煩您
應該和您說的已經加到特徵庫有關係。

[ 本帖最後由 sylovanas 於 2008-9-16 16:30 編輯 ]