作者lcjjaff (回忆忆起回忆)
看板AntiVirus
标题[方案] 新autorun病毒(Kaspersky.exe)含样本、测试、解法
时间Mon Jan 7 17:11:14 2008
学校果然是随身碟病毒风行的地方
又中奖拉.....
然後去google找不到解法Orz
只好自己试看看>"<
尔且继伪avp.exe後
有一只病毒,顶着卡车司机的名号招摇撞骗
常常在论坛里面下载卡车司机的人小心中招....
档名就叫做kaspersky.exe
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
autorun.inf
[AutoRun]
open=Kaspersky.exe
shellexecute=Kaspersky.exe
shell\Auto\command=Kaspersky.exe
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
机制测试: 这边可能有一点问题Orz,如果有其他高手测试後请补充
测试样本:
http://kotuha.com/file/pKqkt-Kaspersky.html
样本密码:virus
VT测试:
反病毒引擎 版本 最後更新 扫瞄结果
AhnLab-V3 - - -
AntiVir - - TR/Crypt.CFI.Gen
Authentium - - -
Avast - - -
AVG - - -
BitDefender - - -
CAT-QuickHeal - - -
ClamAV - - -
DrWeb - - -
eSafe - - -
eTrust-Vet - - -
Ewido - - -
FileAdvisor - - -
Fortinet - - -
F-Prot - - -
F-Secure - - -
Ikarus - - MalwareScope.Backdoor.Hupigon.17
Kaspersky - - -
McAfee - - -
Microsoft - - -
NOD32v2 - - -
Norman - - -
Panda - - Suspicious file
Prevx1 - - -
Rising - - -
Sophos - - -
Sunbelt - - VIPRE.Suspicious
Symantec - - -
TheHacker - - -
VBA32 - - -
VirusBuster - - -
Webwasher-Gateway - - Trojan.Crypt.CFI.Gen
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
档案生成:
C:\Program Files\Common Files\Microsoft Shared\MSINFO\Kaspersky.exe
C:\Program Files\Common Files\Microsoft Shared\MSINFO\SgotoDel.bat
C:\WINDOWS\system32\_Kaspersky.exe
X:\AutoRun.inf
X:\Kaspersky.exe
(其中X为全部磁碟)
测试过程中没有机码的写入Orz
但事後扫Sreng
则在Server里面有
[kaspersky 7.0 / kaspersky 7.0][Stopped/Auto Start]
<C:\Program Files\Common Files\Microsoft Shared\MSINFO\Kaspersky.exe><N/A>
特别事情:修改其他程序记忆体那部分的机制我不是很清楚
EQ显示:
2008-01-07 14:45:07 访问物理记忆体 操作:阻止
程序路径:C:\Program Files\Common Files\Microsoft Shared\MSINFO\Kaspersky.exe
2008-01-07 14:45:07 执行应用程序 操作:允许(自动建立规则)
程序路径:C:\Program Files\Common Files\Microsoft Shared\MSINFO\Kaspersky.exe
档案路径:C:\WINDOWS\system32\calc.exe
2008-01-07 14:45:17 修改其它程序记忆体 操作:阻止
程序路径:C:\Program Files\Common Files\Microsoft Shared\MSINFO\Kaspersky.exe
目标程序:C:\WINDOWS\system32\calc.exe
=>这边如果一直"允许"的话,最後会出现记忆体无法写入的错误视窗
2008-01-07 14:45:34 执行应用程序 操作:允许(自动建立规则)
程序路径:C:\Program Files\Common Files\Microsoft Shared\MSINFO\Kaspersky.exe
档案路径:C:\program files\internet explorer\IEXPLORE.EXE
2008-01-07 14:45:39 修改其它程序记忆体 操作:阻止
程序路径:C:\Program Files\Common Files\Microsoft Shared\MSINFO\Kaspersky.exe
目标程序:C:\program files\internet explorer\IEXPLORE.EXE
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
解法:
windows的开始->"执行"
在开启那边输入:
sc delete kaspersky 7.0
按下确定
下载OTmoveit
http://download.bleepingcomputer.com/oldtimer/OTMoveIt.exe
复制下列文字
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
C:\Program Files\Common Files\Microsoft Shared\MSINFO\Kaspersky.exe
C:\Program Files\Common Files\Microsoft Shared\MSINFO\SgotoDel.bat
C:\WINDOWS\system32\_Kaspersky.exe
X:\AutoRun.inf
X:\Kaspersky.exe
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
执行OTMoveIt主程式
在左半边视窗按右键选贴上後
按MoveIt!
注:X表示各磁碟代号,请自行加入
C:\AutoRun.inf
C:\Kaspersky.exe
D:\AutoRun.inf
D:\Kaspersky.exe
E:\AutoRun.inf
E:\Kaspersky.exe
※ 编辑: lcjjaff 来自: 140.112.63.194 (01/07 17:13)
1F:推 junorn:晚点测看看... 01/07 17:13
2F:推 junorn:喔对了另外l堂主有碰到的话就麻烦帮我观察一下autorun.inf 01/07 17:15
3F:→ junorn:的内容,我要用sed来过滤抓档案。 01/07 17:16
4F:→ lcjjaff:autorun.inf的内容,文章里面有附唷^^ 01/07 17:17
5F:推 junorn:我说以後碰到的啦~0.0a 01/07 17:19
6F:→ lcjjaff:喔喔~好的^^ 01/07 17:20
7F:推 Jyng:冲着卡巴来的病毒真多-.-!总觉得卡巴目前使用率没那麽高了说 01/07 18:18
8F:→ Jyng:KIS8应该抓得到这只,之前试用,我的一堆crack都被抓到=.= 01/07 18:26
9F:推 SDUM:和之前的 上兴远端遥控木马,行为一样! 01/07 19:04
10F:推 blman:我推~ :) 01/07 20:04