關於網路病毒

發表時間: 2008-2-02 22:19 作者: sjk127 來源: AVPClub Security Home

各位大大好...
最近灌C事件在網路上很紅
小弟很好奇的上一個www.97ai.com網站上找圖
結果同事說他上網站時,卡巴斯基跑出警告網頁有毒
"已偵測: 特洛伊木馬程式 Trojan-Downloader.VBS.Agent.jk 網址: http://ccc.sqmnoopt.com/root/14.htm "
我看網頁原始檔的確有http://ccc.sqmnoopt.com/root/haha.htm
我的電腦是灌panda沒有任何反應,
Panda沒掃到毒,
用McAfee線上掃毒也沒掃到毒,
Spyware Doctor也沒掃到毒,
請問只開網頁沒執行任何動作,會不會中毒呢??
謝謝!!

我也來說兩句 查看全部評論相關評論

integear (2008-2-02 22:37:27)

漏洞有補的話(Windows更新),沒事 .

另外如果用FireFox或Opera等非IE核心的也比較安全 .
integear (2008-2-02 22:44:18)

該網頁裡包含"bd.js",內容指向兩個網頁,其中"114.html"用於警告找不到網頁(威脅作者自製的) .

"lz.hmtl"則被加密,FreShow無法解密 .
integear (2008-2-02 22:46:27)

樣本在此 .

lz.rar
(2008-02-02 22:46:27, Size: 1010 B , Downloads: 10)
sjk127 (2008-2-02 23:35:05)

I大真是厲害,
謝謝您!! ^^

再請教一下,
中這個毒會怎麼樣??
或有什麼症狀??
謝謝!!
ary1231 (2008-2-03 10:34:10)

Access to the data has been denied!
Warning: A virus or unwanted program has been found in the HTTP Data.

Requested URL: www.avpclub.ddns.info/discuz/attachment.php?aid=4273
Information: Contains detection pattern of the Java script virus JS/Dldr.Psyme.GX.3
masterchief (2008-2-03 21:30:12)

Avira AntiVir:
lz.htm contains detection pattern of the Java script virus "JS/Dldr.Psyme.GX.3".
masterchief (2008-2-03 23:18:21)

沒想到haha.htm裡面的內容又改了
改成0614.htm、real.js和06067.js
另外，06067.js(需解密)、0614.htm、14.htm、lz.htm(需解密)和real.js(需解密)裡面的網毒連結都是同一隻mm.exe

Avira AntiVir：
14.htm contains detection pattern of the HTML script virus "HTML/ADODB.Exploit.Gen".
0614.htm contains suspicious code HEUR/Exploit.HTML.
real.js contains detection pattern of the Java script virus "JS/Agent.ES".
06067.js contains detection pattern of the HTML script virus "HTML/Silly.Gen".
mm.exe is the Trojan horse "TR/Dropper.Gen".

virussample.rar
(2008-02-03 23:18:21, Size: 15.6 kB, Downloads: 8)
Terminator (2008-2-04 12:55:32)

机器狗+下载者楼主检查路径档案及时更新微软漏洞和防毒软体
Trojan-Downloader.Win32.EDog.q
C:\WINDOWS\SYSTEM32\DRIVERS\PCIHDD2.SYS

Trojan-Downloader.Win32.Agent.pfo
C:\WINDOWS\SYSTEM32\LSSASS.EXE

[ 本帖最後由 Terminator 於 2008-2-4 13:00 編輯 ]

LSSASS.rar
(2008-02-04 12:55:32, Size: 6.87 kB, Downloads: 6)

PCIHDD2.rar
(2008-02-04 12:55:32, Size: 2.67 kB, Downloads: 7)

integear (2008-2-04 13:06:52)

QUOTE:

原帖由 sjk127 於 2008-2-2 23:35 發表
I大真是厲害,
謝謝您!! ^^

再請教一下,
中這個毒會怎麼樣??
或有什麼症狀??
謝謝!!

晚一點會附上行為報告

jimmyleo (2008-2-04 14:38:39)

Log is generated by FreShow.
[wide]http://ccc.sqmnoopt.com/root/haha.htm
[frame]http://ccc.sqmnoopt.com/root/14.htm
      [object]http://mm.sqmnoopt.com/mm/mm.exe
[frame]http://ccc.sqmnoopt.com/root/lianzhong.htm
      [object]http://mm.sqmnoopt.com/mm/mm.exe
[script]http://ccc.sqmnoopt.com/root/real.js
      [object]http://mm.sqmnoopt.com/mm/mm.exe
[script]http://ccc.sqmnoopt.com/root/06067.js
      [object]http://mm.sqmnoopt.com/mm/mm.exe

[ 本帖最後由 jimmyleo 於 2008-2-4 14:40 編輯 ]

collection.rar
(2008-02-04 14:40:23, Size: 48.5 kB, Downloads: 2)

integear (2008-2-04 21:38:01)

"mm.exe"惡意行為重點:

建立新檔-
1.%System%\HDDGuard.dll  (New Malware.ca [McAfee])
2.%System%\lssass.exe  (Trojan-Downloader.Zlob.GEN [PCTools] New Malware.aj [McAfee])
3.[file and pathname of the sample #1]  (Packed/NSPack [PCTools] New Malware.aq [McAfee])

載入系統服務-
1.lssass.exe
2.IEXPLORE.EXE
(以上均由HDDGuard.dll執行)

開啟連接埠-
1.tail_anti:80
2.tail_jqg:80

從網路上下載檔案-
hxxp://cnxz.kv8.info/images/xin.txt,裡面包含以下之惡意檔案,並附有更新日期2008/1/25:
1.hxxp://444.sqmnoopt.com/xm/gx.exe
2.hxxp://2.kv8.info/xm/aa1.exe
3.hxxp://2.kv8.info/xm/aa2.exe
4.hxxp://2.kv8.info/xm/aa3.exe
5.hxxp://2.kv8.info/xm/aa4.exe
6.hxxp://2.kv8.info/xm/aa5.exe
7.hxxp://2.kv8.info/xm/aa6.exe
8.hxxp://2.kv8.info/xm/aa7.exe
9.hxxp://2.kv8.info/xm/aa8.exe
10.hxxp://2.kv8.info/xm/aa9.exe
11.hxxp://2.kv8.info/xm/aa10.exe
12.hxxp://2.kv8.info/xm/aa11.exe
13.hxxp://2.kv8.info/xm/aa12.exe
14.hxxp://2.kv8.info/xm/aa13.exe
15.hxxp://444.sqmnoopt.com/xm/aa14.exe
16.hxxp://444.sqmnoopt.com/xm/aa15.exe
17.hxxp://444.sqmnoopt.com/xm/aa16.exe
18.hxxp://444.sqmnoopt.com/xm/aa17.exe
19.hxxp://444.sqmnoopt.com/xm/aa18.exe
20.hxxp://444.sqmnoopt.com/xm/aa19.exe
21.hxxp://444.sqmnoopt.com/xm/aa20.exe
22.hxxp://444.sqmnoopt.com/xm/aa21.exe
23.hxxp://444.sqmnoopt.com/xm/aa22.exe
24.hxxp://444.sqmnoopt.com/xm/aa23.exe
25.hxxp://444.sqmnoopt.com/xm/aa24.exe
26.hxxp://444.sqmnoopt.com/xm/aa25.exe

安裝Hook-
HDDGuard.dll

特殊行為-
會建立大量登錄檔來屏蔽非常多的安全軟體

ThreatExpert的分析結果,可參考:http://www.threatexpert.com/repo ... e-bc49-ae3194453233

sjk127 (2008-2-05 23:31:52)

masterchief大大,
感謝您把病毒抓出來,
不過我用熊貓竟然找不到毒..

要考慮把熊貓換掉了

Terminator大大,
我的電腦裡找不到PCIHDD2.SYS和LSSASS.EXE這兩個檔案,
是不是代表沒中毒??
感謝您!! ^_^

阿任大大,
這隻毒看起好好像很壞,
做這麼多動作...
不過很感謝您的分析...^_^

還有一個問題要請教各位高手,
就是今天更新病毒碼後掃毒,
終於發現有病毒,
Panda的紀錄檔是這樣的
發現病毒：JS/Psyme.HD 08/02/05 21:07:41 已通知位置：C:\$Recycle.Bin\S-1-5-21-684119286-2604562820-1903427149-1000\$R3PA90I.vir[lz.htm]
不知道這樣的意思是不是有中毒??
謝謝各位的幫忙...

任性緋紅 (2008-2-06 00:16:29)

Recycle是垃圾桶

把垃圾桶清空在掃毒一次看看應該就不會有了

integear (2008-2-06 09:44:47)

QUOTE:

原帖由 sjk127 於 2008-2-5 23:31 發表
masterchief大大,
感謝您把病毒抓出來,
不過我用熊貓竟然找不到毒..
要考慮把熊貓換掉了

Terminator大大,
我的電腦裡找不到PCIHDD2.SYS和LSSASS.EXE這兩個檔案,
是不是代表沒中毒??
感謝您!! ...

Panda還是掃不到"mm.exe","PCIHDD2.sys","LSSASS.exe"建議閣下上報!隔天就會更新,之後再重新掃描電腦,沒掃到就好了

gh1234j (2008-2-06 10:51:53)

nod32 all miss

查看全部評論

我也來說兩句

月度關注熱點

最新更新主題

關於網路病毒

我也來說兩句 查看全部評論相關評論

integear (2008-2-02 22:37:27)

integear (2008-2-02 22:44:18)

integear (2008-2-02 22:46:27)

sjk127 (2008-2-02 23:35:05)

ary1231 (2008-2-03 10:34:10)

masterchief (2008-2-03 21:30:12)

masterchief (2008-2-03 23:18:21)

Terminator (2008-2-04 12:55:32)