[危险]【又有新重大情况】病毒版盛名时刻（6.21版)的完整分析报告

Q神 · 发表于 2009-6-16 22:17:07

结论是：被更改过，捆绑木马！

针对的是绿色版

刚开始发现大小不对，我就预计它捆绑了什么东西
于是拿出来放到环境里分析

1.360tray.exe
这个非常明显是冒牌的，最基本一点，这个文件没有360的数字签名。
2.在桌面上生成两个隐藏文件smsk.exe和smskb20090621.exe，看起来很像以前盛名在临时文件夹释放自身的几个文件，实质不然，都有恶意操作。

然后，分析那个最显眼的360tray.exe吧
这个破玩意，连个基本的保护都没有。

首先，给他放自己做的沙箱环境里运行，结果可到好，触发了30多个危险的win32API，从触发的项目来看，是木马无疑，还有跟网络沟通更新的迹象。
现在结论有了，捆绑了多种木马，还有DOWNLOADER的嫌疑。

初步分析出来了，深度分析稍后继续

--------------------------------------------------
结论出来了。

由于本身捆绑了一个DOWNLOADER，造成了大量的不确定性。它可以随时从网上下载新的病毒并且执行。

对于捆绑的病毒，十分好解决。
1.终止相关进程。360tray.exe,smsk相关的进程
2.删除相关文件。c:\windows\system32\360tray.exe
3.盛名时刻表目录下会有两个隐藏文件smskb2009062.exe和smkcb.exe
其中smskb2009062.exe基本确定是正常的时刻表软件，smkcb.exe是一个混合木马，类似360tray.exe

通过这么多的分析，隐约发现一点不对头。那两个程序，360tray.exe和smkcb.exe是完全不同的两个类似病毒混合体的玩意，没啥实质危害，甚至可以说就是纯粹的各种病毒特征码的集合。因为病毒类型太五花八门了。

因此，感觉这个捆绑病毒事件不想是为了种木马，而像是竞争对手之类的恶意抹黑。

------------------------------------------
潜伏的downloader下载的东西也让我抓到了，调用的父程序我没想到，竟然是正常的时刻表软件，而不是那几个木马调用的
DOWNLOADER去下载的，就是这个地址
http://www.smskb.com/down/rjxz.exe
29k的执行文件，相当小巧的一个木马了～
现在看来，那个分离出来的smskb2009062.exe也不能用，也包含这个downloader

压缩包版本、安装版本现在看，都有可能也包含病毒，包括以前的旧版本～

[ 本帖最后由 Q神于 2009-6-17 10:54 编辑 ]

Q神 · 发表于 2009-6-16 22:18:54

顺便发上一个，在线杀毒的报告，作为参考

扫描结果 :	39%的杀软(15/38)报告发现病毒
时间 :	2009/06/16 22:13:13 (CST)

a-squared	4.5.0.1	20090614213204	2009-06-14	Virus.Win32.Agent.COH!IK	3.124
AntiVir	8.2.0.187	7.1.4.98	2009-06-16	TR/Dropper.Gen	0.287
Arcavir	2009	200906160932	2009-06-16	-	0.056
Authentium	5.1.1	200906151603	2009-06-15	W32/Nuj.A.gen!Eldorado (Possible)	1.124
AVAST!	4.7.4	090615-0	2009-06-15	-	0.044
AVG	8.5.286	270.12.73/2180	2009-06-16	SHeur.CMDD	3.593
BitDefender	7.81008.3349029	7.26014	2009-06-16	DeepScan:Generic.Malware.SFM!b.95B52343	3.603
CA (VET)	9.0.0.143	31.6.6560	2009-06-16	Win32/SillyAutorun.ALB worm.	9.680
ClamAV	0.95.1	9469	2009-06-16	Trojan.Agent-64034	0.142
Comodo	3.9	1341	2009-06-16	TrojWare.Win32.TrojanDropper.VB.~AAAG	0.781
CP Secure	1.1.0.715	2009.06.16	2009-06-16	Troj.Spy.W32.Agent.pn	10.531
Dr.Web	4.44.0.9170	2009.06.16	2009-06-16	-	4.732
F-Prot	4.4.4.56	20090615	2009-06-15	W32/Nuj.A.gen!Eldorado (generic, not disinfectable)	1.150
F-Secure	5.51.6100	2009.06.16.04	2009-06-16	-	0.104
GData	19.5856/19.365	20090616	2009-06-16	-	4.331
Ikarus	T3.1.01.59	2009.06.16.72875	2009-06-16	Virus.Win32.Agent.COH	3.160
Microsoft	1.4701	2009.06.16	2009-06-16	-	4.693
mks_vir	2.01	2009.06.15	2009-06-15	-	3.367
Norman	6.01.09	6.01.00	2009-06-16	-	4.009
nProtect	20090616.03	4261430	2009-06-16	-	7.314
Quick Heal	10.00	2009.06.16	2009-06-16	Trojan.Agent.gen	1.234
Sophos	2.87.1	4.42	2009-06-16	-	2.520
Sunbelt	5191	5191	2009-06-15	-	1.101
The Hacker	6.3.4.3	v00345	2009-06-15	-	0.766
VBA32	3.12.10.7	20090615.1405	2009-06-15	Trojan.Win32.Agent.bfnb	2.417
ViRobot	20090616	2009.06.16	2009-06-16	-	0.427
VirusBuster	4.5.11.10	10.107.14/1629766	2009-06-15	-	2.313
卡巴斯基	5.5.10	2009.06.16	2009-06-16	-	0.081
安博士V3	2009.06.16.03	2009.06.16	2009-06-16	Win-Trojan/Xema.variant	0.861
安天	2.0.18	20090616.2549523	2009-06-16	-	0.170
江民杀毒	11.0.706	2009.06.16	2009-06-16	Worm/AutoRun.wv	2.530
熊猫卫士	9.05.01	2009.06.15	2009-06-15	-	1.924
瑞星	20.0	21.34.13.00	2009-06-16	-	0.833
赛门铁克	1.3.0.24	20090615.003	2009-06-15	-	0.058
趋势科技	8.700-1004	6.196.03	2009-06-16	-	0.048
迈克菲	5.3.00	5647	2009-06-15	-	3.116
金山毒霸	2009.2.5.15	2009.6.16.18	2009-06-16	-	0.527
飞塔	2.81-3.117	10.502	2009-06-16	-	0.197

xuchaofan · 发表于 2009-6-16 22:19:09

那安装了的怎么办啊？

阳光 · 发表于 2009-6-16 22:20:35

谢谢Q神了，另外最好能告知下中毒特征，让我悬起的心放下……我现在进程无异常，各个盘下根目录也无异常，虽然诺顿提示DOWNLOADER，但是查360tray.exe却没有报毒……所以迷茫中。

Q神 · 发表于 2009-6-16 22:21:13

安装了的朋友，我多分析分析，给出临时的解决方案

最基本的一部，调出任务管理器，将带有360TRAY、smsk类似的进程统统结束掉，等待进一步方案

[ 本帖最后由 Q神于 2009-6-16 22:22 编辑 ]

CerleornD · 发表于 2009-6-16 22:21:22

我下载绿色版的时候AVAST就提示有病毒

阳光 · 发表于 2009-6-16 22:22:26

Q神可以看下这个帖子。
http://bbs.hasea.com/thread-354943-1-1.html
诺顿的确是报了downloader，但是只是运行的时候……单杀杀不出来。

Q神 · 发表于 2009-6-16 22:32:45

越分析越头疼
这个破病毒写的可够弱智的了……
释放出那么多东西，连个基本的进程守护都没做，而且连网络的时候也净干些无聊的事情

阳光 · 发表于 2009-6-16 22:33:44

这么弱智还那么多杀软查不出来呢……而且像我这种不小心的人想都没想就运行了……

Q神 · 发表于 2009-6-16 22:36:28

原帖由阳光于 2009-6-16 22:33 发表
这么弱智还那么多杀软查不出来呢……而且像我这种不小心的人想都没想就运行了……

这年头的杀毒软件，最大的功能就是占用系统资源，其次是提醒你机器已经中病毒了，最后一个功能是骚扰得你不厌其烦

btta · 发表于 2009-6-16 22:39:05

发现了360的那个进程，结束了，然后注册表删除了相应的启动项。
但是没发现有smsk这样的进程啊。

阳光 · 发表于 2009-6-16 22:40:14

我的机器里是有，每运行一次出一个。你仔细看看~VISTA的话选查看所有用户进程看下。

btta · 发表于 2009-6-16 22:44:21

我是xp-sp3，进程上个图吧。
未命名.jpg

阳光 · 发表于 2009-6-16 22:45:24

左下角勾上如果没有，那就真没有。

btta · 发表于 2009-6-16 22:50:32

这个这真没有。:lol

bill_gao · 发表于 2009-6-16 22:52:14

这回的文件是2.14M比原来的800K大了许多。
直接使用其释放出来的smskb2009062.exe就没问题了，然后删除smskb.exe和360tray.exe

bill_gao · 发表于 2009-6-16 22:54:26

楼主要是能做一个脚本，运行一下直接能把里面的广告去掉就好了。

阳光 · 发表于 2009-6-16 22:55:58

第一次运行的时候即会运行360tray.exe，慎用。

bill_gao · 发表于 2009-6-16 22:57:41

原帖由阳光于 2009-6-16 22:55 发表
第一次运行的时候即会运行360tray.exe，慎用。

不要紧，直接停止这个进程就行了，然后把它删掉，以后就用它释放出来的那个802K的。

Q神 · 发表于 2009-6-16 23:08:56

原帖由 bill_gao 于 2009-6-16 22:54 发表
楼主要是能做一个脚本，运行一下直接能把里面的广告去掉就好了。

我早就在用了你等会啊～
告诉你怎么做

		自动登录	找回密码
密码			注册进站

[危险]【又有新重大情况】病毒版盛名时刻（6.21版)的完整分析报告

回复 #8 Q神的帖子

回复 #11 btta 的帖子

回复 #13 btta 的帖子

回复 #14 阳光的帖子

回复 #16 bill_gao 的帖子

[危险]【又有新重大情况】病毒版盛名时刻（6.21版)的完整分析报告

回复 #8 Q神 的帖子

回复 #11 btta 的帖子

回复 #13 btta 的帖子

回复 #14 阳光 的帖子

回复 #16 bill_gao 的帖子

回复 #8 Q神的帖子

回复 #14 阳光的帖子