《案例精解企业级网络构建》赠书活动开始啦！　最新活动：“Web安全大家谈”有奖征文

Trojan-Dropper.Win32.Agent.bvs

2007-09-15 19:52:52

　标签：木马病毒 Trojan Droppe .Win32 专杀　　　[推送到技术圈]

前言：看到一个毒，动作非常简单，但有一点却算是有点创新精神的

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

sxs.exe样本信息：
反病毒引擎版本最后更新扫描结果
AhnLab-V3 2007.9.14.0 2007.09.14 -
AntiVir 7.6.0.10 2007.09.14 BDS/Graybird.GN.462336
Authentium 4.93.8 2007.09.15 -
Avast 4.7.1043.0 2007.09.14 Win32:Hupigon-BQO
AVG 7.5.0.485 2007.09.14 -
BitDefender 7.2 2007.09.15 -
CAT-QuickHeal 9.00 2007.09.14 -
ClamAV 0.91.2 2007.09.15 Trojan.Downloader.Adload-130
DrWeb 4.33 2007.09.14 -
eSafe 7.0.15.0 2007.09.13 -
eTrust-Vet 31.1.5136 2007.09.14 -
Ewido 4.0 2007.09.15 Backdoor.BlackHole.j
FileAdvisor 1 2007.09.15 -
Fortinet 3.11.0.0 2007.09.15 Generic.A!tr.bdr
F-Prot 4.3.2.48 2007.09.15 -
F-Secure 6.70.13030.0 2007.09.15 Trojan-Dropper.Win32.Agent.bvs
Ikarus T3.1.1.12 2007.09.15 Trojan-PWS.Win32.Lmir
Kaspersky 4.0.2.24 2007.09.15 Trojan-Dropper.Win32.Agent.bvs
McAfee 5120 2007.09.14 BackDoor-CGX
Microsoft 1.2803 2007.09.15 Backdoor:Win32/Blackhole.T
NOD32v2 2531 2007.09.15 -
Norman 5.80.02 2007.09.14 W32/Malware.APNA
Panda 9.0.0.4 2007.09.14 Suspicious file
Prevx1 V2 2007.09.15 Heuristic: Suspicious File Which Interferes With Vulnerable Files Like The HostsFile
Rising 19.40.51.00 2007.09.15 -
Sophos 4.21.0 2007.09.15 Mal/Generic-A
Sunbelt 2.2.907.0 2007.09.15 Backdoor.Win32.Blackhole.T
Symantec 10 2007.09.15 W32.SillyFDC
TheHacker 6.2.5.060 2007.09.14 -
VBA32 3.12.2.4 2007.09.15 suspected of Embedded.Backdoor.Win32.BlackHole.j
VirusBuster 4.3.26:9 2007.09.14 -
Webwasher-Gateway 6.0.1 2007.09.14 Trojan.Graybird.GN.462336

附加信息
File size: 505733 bytes
MD5: b3bc73a0649c097457099d1d8363213d
SHA1: 2d1f758d85321b8396212edd7942048fd1f03c2e
packers: BINARYRES
Prevx info: http://fileinfo.prevx.com/fileinfo.asp?PX5=798BC273002A9C2C8493080EEBA3E6003F867310

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

文件改动：

创建：

C:\WINDOWS\system32\sysclient.exe
C:\WINDOWS\system\services.exe
C:\WINDOWS\winstart.dlll (注意是dlll而不是dll)

－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－

注册表改动：

添加：

HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\ShowSuperHidden Type: REG_DWORD, Length: 4, Data: 0

HKCR\.dlll Desired Access: All Access
HKCR\.dlll\(Default) Type: REG_SZ, Length: 30, Data: dlll_Auto_File

HKCR\dlll_Auto_File Desired Access: All Access
HKCR\dlll_Auto_File\(Default) Type: REG_SZ, Length: 2, Data:
HKCR\dlll_Auto_File\shell\open\command Desired Access: All Access
HKCR\dlll_Auto_File Desired Access: Maximum Allowed
HKCR\dlll_Auto_File\shell Desired Access: Maximum Allowed
HKCR\dlll_Auto_File\shell\open Desired Access: Maximum Allowed
HKCR\dlll_Auto_File\shell\open\command Desired Access: All Access
HKCR\dlll_Auto_File\shell\open\command\(Default) Type: REG_SZ, Length: 68, Data: C:\WINDOWS\system\services.exe %1

HKCR\.dlll Desired Access: All Access
HKCR\.dlll\(Default) Type: REG_SZ, Length: 30, Data: dlll_auto_file

HKCR\dl1_auto_file\shell\open\command Desired Access: All Access
HKCR\dl1_auto_file Desired Access: Maximum Allowed
HKCR\dl1_auto_file\shell Desired Access: Maximum Allowed
HKCR\dl1_auto_file\shell\open Desired Access: Maximum Allowed
HKCR\dl1_auto_file\shell\open\command Desired Access: All Access
HKCR\dl1_auto_file\shell\open\command\(Default) Type: REG_SZ, Length: 62, Data: C:\WINDOWS\system\services.exe

HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run Desired Access: All Access
HKCU\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run\soundman Type: REG_SZ, Length: 48, Data: C:\WINDOWS\WinStar.dlll

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

创建了新的文件类型，把打开方式指向病毒主文件，在run键值里面直接写入C:\WINDOWS\WinStar.dlll；

且不论这种加载方式是否高明，这个病毒是否厉害，相比于现在许许多多的使用生成器弄出来的“标准”病毒和一些用烂了的手法来说，这个东西算是有创新精神了；

当然，制作病毒始终是犯法的，取其创新精华吧。

P.S.很久没有上传样本到VT检测，今天居然发现它有中文版了，呵呵！

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝

原创作者dikex（六翼刺猬）文章地址：
http://hi.baidu.com/dikex/blog/item/102881097eddec276b60fb9d.html

上一篇 auto.exe F0D78D11.DLL F77B20D5.EXE专杀　　下一篇怎样捕获病毒样本

类别：就这样 ┆ 技术圈() ┆ 阅读() ┆ 评论() ┆推送到技术圈 ┆返回首页

相关文章

文章评论

昵称：
验证码：		点击图片可刷新验证码　　博客过2级，无需填写验证码
内容：