海子铁路网

 找回密码
 注册进站

QQ登录

只需一步,快速开始

查看: 13366|回复: 29

[危险]【又有新重大情况】病毒版盛名时刻(6.21版)的完整分析报告

 关闭 [复制链接]
发表于 2009-6-16 22:17:07 | 显示全部楼层 |阅读模式
结论是:被更改过,捆绑木马!

针对的是绿色版

刚开始发现大小不对,我就预计它捆绑了什么东西
于是拿出来放到环境里分析

1.360tray.exe
这个非常明显是冒牌的,最基本一点,这个文件没有360的数字签名。
2.在桌面上生成两个隐藏文件smsk.exe和smskb20090621.exe,看起来很像以前盛名在临时文件夹释放自身的几个文件,实质不然,都有恶意操作。


然后,分析那个最显眼的360tray.exe吧
这个破玩意,连个基本的保护都没有。

首先,给他放自己做的沙箱环境里运行,结果可到好,触发了30多个危险的win32API,从触发的项目来看,是木马无疑,还有跟网络沟通更新的迹象。
现在结论有了,捆绑了多种木马,还有DOWNLOADER的嫌疑。


初步分析出来了,深度分析稍后继续


--------------------------------------------------
结论出来了。

由于本身捆绑了一个DOWNLOADER,造成了大量的不确定性。它可以随时从网上下载新的病毒并且执行。

对于捆绑的病毒,十分好解决。
1.终止相关进程。360tray.exe,smsk相关的进程
2.删除相关文件。c:\windows\system32\360tray.exe
3.盛名时刻表目录下会有两个隐藏文件smskb2009062.exe和smkcb.exe
其中smskb2009062.exe基本确定是正常的时刻表软件,smkcb.exe是一个混合木马,类似360tray.exe


通过这么多的分析,隐约发现一点不对头。那两个程序,360tray.exe和smkcb.exe是完全不同的两个类似病毒混合体的玩意,没啥实质危害,甚至可以说就是纯粹的各种病毒特征码的集合。因为病毒类型太五花八门了。

因此,感觉这个捆绑病毒事件不想是为了种木马,而像是竞争对手之类的恶意抹黑。

------------------------------------------
潜伏的downloader下载的东西也让我抓到了,调用的父程序我没想到,竟然是正常的时刻表软件,而不是那几个木马调用的
DOWNLOADER去下载的,就是这个地址

http://www.smskb.com/down/rjxz.exe
29k的执行文件,相当小巧的一个木马了~
现在看来,那个分离出来的smskb2009062.exe也不能用,也包含这个downloader


压缩包版本、安装版本现在看,都有可能也包含病毒,包括以前的旧版本~

[ 本帖最后由 Q神 于 2009-6-17 10:54 编辑 ]
 楼主| 发表于 2009-6-16 22:18:54 | 显示全部楼层
顺便发上一个,在线杀毒的报告,作为参考

扫描结果 :  39%的杀软(15/38)报告发现病毒
时间 :  2009/06/16 22:13:13 (CST)
a-squared4.5.0.1200906142132042009-06-14Virus.Win32.Agent.COH!IK
3.124
AntiVir8.2.0.1877.1.4.982009-06-16TR/Dropper.Gen
0.287
Arcavir20092009061609322009-06-16-
0.056
Authentium5.1.12009061516032009-06-15W32/Nuj.A.gen!Eldorado (Possible)
1.124
AVAST!4.7.4090615-02009-06-15-
0.044
AVG8.5.286270.12.73/21802009-06-16SHeur.CMDD
3.593
BitDefender7.81008.33490297.260142009-06-16DeepScan:Generic.Malware.SFM!b.95B52343
3.603
CA (VET)9.0.0.14331.6.6560 2009-06-16Win32/SillyAutorun.ALB worm.
9.680
ClamAV0.95.194692009-06-16Trojan.Agent-64034
0.142
Comodo3.913412009-06-16TrojWare.Win32.TrojanDropper.VB.~AAAG
0.781
CP Secure1.1.0.7152009.06.162009-06-16Troj.Spy.W32.Agent.pn
10.531
Dr.Web4.44.0.91702009.06.162009-06-16-
4.732
F-Prot4.4.4.56200906152009-06-15W32/Nuj.A.gen!Eldorado (generic, not disinfectable)
1.150
F-Secure5.51.61002009.06.16.042009-06-16-
0.104
GData19.5856/19.365200906162009-06-16-
4.331
IkarusT3.1.01.592009.06.16.728752009-06-16Virus.Win32.Agent.COH
3.160
Microsoft1.47012009.06.162009-06-16-
4.693
mks_vir2.012009.06.152009-06-15-
3.367
Norman6.01.096.01.002009-06-16-
4.009
nProtect20090616.0342614302009-06-16-
7.314
Quick Heal10.002009.06.162009-06-16Trojan.Agent.gen
1.234
Sophos2.87.14.422009-06-16-
2.520
Sunbelt519151912009-06-15-
1.101
The Hacker6.3.4.3v003452009-06-15-
0.766
VBA323.12.10.720090615.14052009-06-15Trojan.Win32.Agent.bfnb
2.417
ViRobot200906162009.06.162009-06-16-
0.427
VirusBuster4.5.11.1010.107.14/16297662009-06-15-
2.313
卡巴斯基5.5.102009.06.162009-06-16-
0.081
安博士V32009.06.16.032009.06.162009-06-16Win-Trojan/Xema.variant
0.861
安天2.0.1820090616.25495232009-06-16-
0.170
江民杀毒11.0.7062009.06.162009-06-16Worm/AutoRun.wv
2.530
熊猫卫士9.05.012009.06.152009-06-15-
1.924
瑞星20.021.34.13.002009-06-16-
0.833
赛门铁克1.3.0.2420090615.0032009-06-15-
0.058
趋势科技8.700-10046.196.032009-06-16-
0.048
迈克菲5.3.0056472009-06-15-
3.116
金山毒霸2009.2.5.152009.6.16.182009-06-16-
0.527
飞塔2.81-3.11710.5022009-06-16-
0.197
发表于 2009-6-16 22:19:09 | 显示全部楼层
那安装了的怎么办啊?
发表于 2009-6-16 22:20:35 | 显示全部楼层
谢谢Q神了,另外最好能告知下中毒特征,让我悬起的心放下……我现在进程无异常,各个盘下根目录也无异常,虽然诺顿提示DOWNLOADER,但是查360tray.exe却没有报毒……所以迷茫中。
 楼主| 发表于 2009-6-16 22:21:13 | 显示全部楼层
安装了的朋友,我多分析分析,给出临时的解决方案

最基本的一部,调出任务管理器,将带有360TRAY、smsk类似的进程统统结束掉,等待进一步方案

[ 本帖最后由 Q神 于 2009-6-16 22:22 编辑 ]
发表于 2009-6-16 22:21:22 | 显示全部楼层
我下载绿色版的时候AVAST就提示有病毒
发表于 2009-6-16 22:22:26 | 显示全部楼层
Q神可以看下这个帖子。
http://bbs.hasea.com/thread-354943-1-1.html
诺顿的确是报了downloader,但是只是运行的时候……单杀杀不出来。
 楼主| 发表于 2009-6-16 22:32:45 | 显示全部楼层
越分析越头疼
这个破病毒写的可够弱智的了……
释放出那么多东西,连个基本的进程守护都没做,而且连网络的时候也净干些无聊的事情
发表于 2009-6-16 22:33:44 | 显示全部楼层

回复 #8 Q神 的帖子

这么弱智还那么多杀软查不出来呢……而且像我这种不小心的人想都没想就运行了……
 楼主| 发表于 2009-6-16 22:36:28 | 显示全部楼层
原帖由 阳光 于 2009-6-16 22:33 发表
这么弱智还那么多杀软查不出来呢……而且像我这种不小心的人想都没想就运行了……

这年头的杀毒软件,最大的功能就是占用系统资源,其次是提醒你机器已经中病毒了,最后一个功能是骚扰得你不厌其烦
发表于 2009-6-16 22:39:05 | 显示全部楼层
发现了360的那个进程,结束了,然后注册表删除了相应的启动项。
但是没发现有smsk这样的进程啊。
发表于 2009-6-16 22:40:14 | 显示全部楼层

回复 #11 btta 的帖子

我的机器里是有,每运行一次出一个。你仔细看看~VISTA的话选查看所有用户进程看下。
发表于 2009-6-16 22:44:21 | 显示全部楼层
我是xp-sp3,进程上个图吧。
未命名.jpg
发表于 2009-6-16 22:45:24 | 显示全部楼层

回复 #13 btta 的帖子

左下角勾上如果没有,那就真没有。
发表于 2009-6-16 22:50:32 | 显示全部楼层

回复 #14 阳光 的帖子

这个这真没有。:lol
发表于 2009-6-16 22:52:14 | 显示全部楼层
这回的文件是2.14M比原来的800K大了许多。
直接使用其释放出来的smskb2009062.exe就没问题了,然后删除smskb.exe和360tray.exe
发表于 2009-6-16 22:54:26 | 显示全部楼层
楼主要是能做一个脚本,运行一下直接能把里面的广告去掉就好了。
发表于 2009-6-16 22:55:58 | 显示全部楼层

回复 #16 bill_gao 的帖子

第一次运行的时候即会运行360tray.exe,慎用。
发表于 2009-6-16 22:57:41 | 显示全部楼层
原帖由 阳光 于 2009-6-16 22:55 发表
第一次运行的时候即会运行360tray.exe,慎用。

不要紧,直接停止这个进程就行了,然后把它删掉,以后就用它释放出来的那个802K的。
 楼主| 发表于 2009-6-16 23:08:56 | 显示全部楼层
原帖由 bill_gao 于 2009-6-16 22:54 发表
楼主要是能做一个脚本,运行一下直接能把里面的广告去掉就好了。

我早就在用了 你等会啊~
告诉你怎么做
您需要登录后才可以回帖 登录 | 注册进站

本版积分规则

手机版|小黑屋|Archiver|海子铁路网 ( 京ICP证120035号 京公网安备11010702001036 )

GMT+8, 2024-12-26 23:55

Powered by Discuz! X3.4

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表