* 不知标题用的对不对，如果不对，麻烦板主更正 * 不知此类 malware 的命名为何，暂称 kavo * 叔叔有练过(虽然是新手)，请小朋友不要尝试。 看板上有多位网友中了此 malware 或其变种，所以决定拿来作初步分析。 == 分析的 malware 来源 == hxxp://www.tw7890.com/twv/help.exe (连结已修改) 部分(不敢说全部)kavo类的病毒，会偷偷下载上列网址的档案。 解不乾净的话，会再下载回来安装一次。 == 特性解析 == 在分析过程中，发现 help.exe 是一个处理过後的档案。 必须要做一个前处理的动作，来解出原先的执行档。 本篇命名如下： 1. help.exe (前处理前) 2. help-orig.exe (前处理後) 我将拿此两个档做 Anti-Virus 扫描。 == Anti-Virus 结果 == 分析的网站是 http://www.virustotal.com/ % help.exe Result: 16/32 (50%) // 表示32家 Anti-Virus 有 16 家至少说"可能有问题" 此 16 家的名单请见 http://www.flickr.com/photos/ant1005/1358696833/ % help-orig.exe Result: 15/32 (46.88%) // 表示32家 Anti-Virus 有 15 家至少说"可能有问题" 此 15 家的名单请见 http://www.flickr.com/photos/ant1005/1359586586/ 在此案例中，个人觉得优良的 Anti-Virus 名单为： - AntiVir - BitDefender - Ikarus - NOD32v2 - Symantec - Webwasher-Gateway == help-orig.exe 的特徵分析 == 因为 help.exe 是处理过的执行档，所以没办法直接分析， 所以分析的是 help-orig.exe。 1. 影响平台 只会影响 windows 32bit 平台。 2. 产生的档案 ntdelect.com, kavo.exe, kavo0.dll, kava 3. Registry (注册码) 以下的 {PREFIX} = NKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion A. {PREFIX}\Policies\Explorer\NoDriveTypeAutoRun B. {PREFIX}\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue C. {PREFIX}\Explorer\Advanced\ShowSuperHidden D. {PREFIX}\Explorer\Advanced\Hidden E. {PREFIX}\Run 4. 其它 比较特别的是发现有对 Game_start 存取的迹象，但不确定这是什麽。 == 後语 == 建议把 www.tw7890.com 列为黑名单网址。 --

※ 发信站: 批踢踢实业坊(ptt.cc) ◆ From: 140.109.22.169