我又來了...

發表時間: 2008-9-17 18:05    作者: sylovanas    來源: AVPClub Security Home

字體: 小 中 大 | 打印

我也來說兩句 查看全部評論 相關評論

• upside (2008-9-17 19:24:09)

  
  你終於找到這隻啦
  我分析看看

• upside (2008-9-17 20:15:18)

  生成檔案
  
  %Temp%\2.bat
  %Temp%\���@���S�Ð′o.cmd
  %Windir%\Help\B41346EFA848.exe
  %Windir%\Help\B41346EFA848.dll
  
  B41346EFA848.dll %Windir%\help\B41346EFA848.dll
  調用以下程式
  %Windir%\explorer.exe
  %ProgramFiles%\messenger\msmsgs.exe
  %System%\dllhost.exe
  %Windir%\dns\sdnsmain.exe
  %ProgramFiles%\internet explorer\iexplore.exe
  
  修改登錄檔
  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}
  HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32
  
  [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}\InProcServer32]
  (Default) = "%Windir%\help\B41346EFA848.dll"
  ThreadingModel = "Apartment"
  
  [HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{1DBD6574-D6D0-4782-94C3-69619E719765}]
  (Default) = "SSUUDL"
  [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
  {1DBD6574-D6D0-4782-94C3-69619E719765} = ""
  
  下載檔案
  hxxp://mgaazz.com/xxc/ddr1.rar %System%\ddr1.exe
  
  
  怪 沒有出現 bitkv0.dll
  我安裝的是卡巴 KIS2009
  實機測試還是沒出現
  難道被卡巴擋了嗎
  
  雖然手法很像 隨身碟病毒
  但害我高興一下 以為有新技術的病毒出現
  
  [ 本帖最後由 upside 於 2008-9-17 20:31 編輯 ]

• barbara (2008-9-17 20:15:38)

  奇怪，这个档案被Norton 09处理后就变成22bytes了。。。文件名不变

  virus121_Norton09.zip
  (2008-09-17 20:15:38, Size: 242 B , Downloads: 3)

• 000110 (2008-9-17 21:27:15)

  它的行為像是 Magania 的變種
  
  希望不會像上一次大大的這一篇文章: 關於kis2009被kxvo過的事情 的樣本, 小弟試了2個多鐘也沒有被過的現象
  有的話真是萬中無一
  
  [ 本帖最後由 000110 於 2008-9-17 21:31 編輯 ]

• upside (2008-9-17 21:37:22)

  關於這個問題我也一直在思考
  每個人都使用一樣的防軟
  但有人會被過 有人不會
  到底是我們對此太熟悉 還是一般使用者的疏忽
  還是在某種條件下會被過

• 000110 (2008-9-17 21:49:49)

  QUOTE:

  原帖由 upside 於 2008-9-17 21:37 發表
  到底是我們對此太熟悉 還是一般使用者的疏忽

  這方面就不知了, 不過以該樣本為例, 卡巴的自動模式僅提供了2個需要使用者選擇的提示
  而且某些選項有被粗體, 誘導使用者選擇

  QUOTE:

  原帖由 upside 於 2008-9-17 21:37 發表
  還是在某種條件下會被過

  暫時只有丫一大大可以複製, 詳細還要請教丫一大大

• sylovanas (2008-9-17 23:15:07)

  這我也不清楚，我這邊是一次提示都沒跳過，只有旁邊跳出訊息說加到哪個群組底下這樣
  
  執行樣本之後直接將檔案加到低限制區
  但所有病毒動作都一樣照常動作
  
  倒是我自己做的解毒程式一直跳詢問問我要不要阻止....
  
  說真的這樣本我也很納悶
  本來一開始我執行 ( 尚未安裝卡巴因為要到期了 )
  也是沒有產生該檔案
  
  後來我就安裝卡巴後重開機，卡巴就一直當，但當了自我保護就馬上在起
  只是起了之後就又一直當
  
  然後我去看explorer進程，就可以看到B41346EFA848.dll和bittkv0.dll掛載在explorer上面
  
  明天我到公司在將那個dll檔補上，不過沒掛載可能光有檔案也沒什麼用。
  
  而且我這邊測試是這樣，我那邊討論區也是很多人都有這樣的情形
  但不知道為何會這樣...
  
  而且我最早一開始第一次裝卡巴2009的時候該樣本就很成功的將所有的病毒阻擋下來
  但這一次就都沒辦法...所以更納悶
  
  不過如果bitkv0.dll那檔案掛上去的話應該會比較有趣就是
  
  [ 本帖最後由 sylovanas 於 2008-9-17 23:25 編輯 ]

• 000110 (2008-9-17 23:23:55)

  版本應該是8.0.0.454吧?

• sylovanas (2008-9-17 23:26:19)

  http://www.kaspersky.com.tw/KL-Downloads/ProductDownloads.htm
  
  這邊下載的
  
  安裝時就是完全選下一步而已，沒有作任何變動
  裝完後讓他自己跑更新，連主介面都沒開過 ( 這一次的樣本 )
  
  不過我是先讓系統中這樣本的毒才安裝的
  
  [ 本帖最後由 sylovanas 於 2008-9-17 23:28 編輯 ]

• 000110 (2008-9-17 23:39:33)

  先中了virus121這個毒後安裝卡巴?

• sylovanas (2008-9-17 23:45:49)

  不知道和SSDT HOOK會不會有關係？
  
  在第一次安裝卡巴之前有裝過Eqescure和SBIE
  以及某一個有防盜版裝置的遊戲
  
  由於是映像檔所以也有裝酒精52% 那個也有sptd.sys會吃SSDT HOOK
  不過後來都移除掉了，包括sptd.sys用冰劍查ssdt hook也沒掛載了...
  
  但那一部分我並不了解，所以是否會和這些東西有關？
  
  如果有可能的話那是真的有機會防護會大打折扣....現在的人都喜歡裝一些有的沒的
  尤其是酒精或者是Demon tools那一種的十台裡面有五台會有。

• sylovanas (2008-9-17 23:47:19)

  這一次測試是這樣測 ( 因為時間不夠我重新測試，而且本來並沒打算要裝，是沒發現到bitkv0.dll這檔案直覺想到他是針對卡巴所以才裝的 )
  
  上一篇則是都有試過，將病毒移除後在重新安裝卡巴並更新

• vaio3388 (2008-9-18 06:47:25)

  kavo常見的變種
  
  c:\autorun.inf                                                                 
  c:\iwjj.com                                                                     
  c:\windows\system32\kavo.exe                                                   
  c:\windows\system32\kavo0.dll                                                   
  c:\windows\system32\kavo1.dll                                                   
  c:\windows\system32\kxvo.exe                                                   
  c:\windows\system32\kxvo0.dll                                                   
  c:\windows\system32\kxvo1.dll                                                   
  c:\windows\system32\tavo.exe                                                   
  c:\windows\system32\tavo0.dll                                                   
  c:\windows\system32\tavo1.dll                                                   
  c:\windows\system32\Bitkv0.dll                                                 
  c:\windows\system32\jwedsfdo0.dll                                               
  c:\windows\system32\jwedsfdo1.dll                                               
                                                                                  
  破壞網路驅動                                                                    
  c:\windows\system32\drivers\tdi.sys                                             
  c:\windows\system32\drivers\psched.sys                                          
  c:\windows\system32\drivers\tcpip.sys                                          
                                                                                  
  j3ewro.exe破壞卡巴斯基驅動 導致無法更新或某些防護出錯
  c:\windows\system32\j3ewro.exe                                                
  c:\windows\system32\drivers\vga.sys                                             
  c:\windows\system32\drivers\klif.sys                                            
                                                                                  
  寫入每個分割槽                                                                  
  autorun.inf                                                                     
  nw0t1l0d.exe                                                                    
  8tss2gwq.bat                                                                    
  ntdelect.com
  
  參考參考
  
  
  [ 本帖最後由 vaio3388 於 2008-9-18 06:50 編輯 ]

• upside (2008-9-18 13:33:46)

  今天在一台電腦中 發現此檔案
  Bitkv0.dll
  Bitkv1.dll
  但客戶安裝 KIS2009 一直會發生 AVP.EXE 錯誤
  有時執行後 可以顯示一下 趕緊更新 但一直無法更新成功
  但連線並無異常
  雖然也有找到 20多隻 KAVO 系列的毒
  但並不影響
  看了一下 進程中有兩個AVP.EXE
  就如ㄚ一大所說 GUI 被關掉
  但進程未被結束
  不過沒有 GUI 也沒辦法繼續殺毒阿
  只能靠手動來殺了
  
  目前還在測試中
  
  [ 本帖最後由 upside 於 2008-9-18 13:35 編輯 ]

• ㄚ一 (2008-9-18 13:36:08)

  上次那個樣本的的問題發生的機率實在很低
  而且必須在特定的極端條件下，一般很難遇到這個問題
  這個問題發生的主因是由於AD沒有攔截提權行為
  造成的，而且KIS的report跟實際上發生的行為有些出入
  導致tdi.sys被破壞，重開機後圖示呈灰色，FireWall失去作用
  但其它的防護或者是自我保護依然健在，只是因為tdi.sys被破獲
  才導致FireWall防護失效，而不是KIS本身被破壞才防護失效

• 000110 (2008-9-18 13:45:58)

  看來要先中毒後安裝卡巴才會有 Bitkv0.dll 的出現

• upside (2008-9-18 14:16:30)

  嗯 依客戶的狀況來看 是已經中毒的狀況下
  才來購買 KIS2009
    自己中毒了 還怪我們KIS2009有問題不能安裝
  就跟他說是中毒引起的問題
  他還在那裡半信半疑
  唉 現在的客戶越來越不好養
  上次還有一個老頭 說是某大學教授勒
  自己也是中 KAVO 又不買防毒軟體
  他本來說要請學生幫他修
  但沒兩天還是跑來找我
  當然費用是一定要收的 (才300元)
  後來修好後 他竟然跟我要開診斷書 (維修內容)
  要註明:
  1.如何中毒
  2.如何解毒 我是如何去解毒
  3.中了那些毒
  4.如何避免中毒
  
  最好我是有空去寫那東西 才賺你300元
  又不跟我買防毒 要我寫那東西
  我才不幹 但是竟然就投訴我
  害我被店長臭罵一頓

• ㄚ一 (2008-9-18 14:26:25)

  這個virus121.exe我執行後沒有發生任何惡意行為
  在CFP3下也只有這麼一樣行為，但不是惡意行為
  
  

• upside (2008-9-18 14:28:27)

  嗯 這毒分析出來 有生成一些檔案
  但實機測卻沒有出現
  我也一直在等那些生成物

• sylovanas (2008-9-18 14:29:24)

  我還有碰過更扯的....
  
  一台機器有零件斷掉，但兩年前的時候就已經是斷掉的情形
  結果客人竟然跟我說要我拍下兩年前這台機器的照片提供給他們參考。
  
  我家沒有小叮噹怎麼可能拍兩年前的照片
  
  離題了....
  
  那個bitkv0.dll 提供給我樣本的人跟我說不裝卡巴也會有，他有實際試過了
  但同樣他那邊有下載ckvo.exe等的毒，我這邊就沒這樣的情形，怪。
  
  我看到01版主po的文...等一下我去測試看看。