» 游客:  注册 | 登录 | 帮助  微点交流论坛 » 主动防御 » 一个煞费心机的病毒伪装 感染型捆绑器程序   作者: 标题: 一个煞费心机的病毒伪装 感染型捆绑器程序 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #1  一个煞费心机的病毒伪装 感染型捆绑器程序             【金山铁军】2008-10-07 14:15 看华南虎发来的病毒播报，注意到其中有这样一个病毒：“欺骗者捆绑器2060299”（PE.VBIconchgs.il.2060299）我没有拿到这个样本，也就没有这个病毒运行后对话框的截图了。 毒霸大百科 病毒行为: 这是一个由VB语言所写的感染型捆绑器程序。它能够将病毒程序捆绑到正常的文件上，进入电脑后就释放出病毒。它所携带的病毒是个远程木马，具有欺骗能力，会试图欺骗用户关闭自己的防火墙。 1.病毒伪装为微软文件，附带如下版权信息. （病毒会伪装成带有微软签名的程序，不加留意会以为这是微软发布的补丁文件） 备注:Microsoft HotFixes 产品版本:5.04.0103 产品名称:Microsoft HotFixes 公司:Microsoft Corporation 合法商标:Microsoft HotFixes 内部版本:Installer94 源文件名:Installer94.exe 病毒内存在字符串Awsotr_Auto_Infect_And_Icon_Changer。 2.病毒释放文件至%WindowsDirectory%\A__rd.exe执行，并将需要榜定的文件以及图标释放至c:\msasn1目录下，文件 为:BProtect.Axv,BProtect.exe,mqperf.exe,msidntld#.exe,Set1.Ico文件，并在执行过程中不 断变化图标文件。 3.病毒搜索磁盘中文件，并将需附加部分附加于搜索到的.exe文件前方，以及图标文件组合为新文件。 4.被感染文件被执行时，释放绑定的病毒文件并执行。病毒并不会释放以及执行原文件。 5.病毒捆绑部分为木马程序，伪装为 微软防火墙 程序，病毒中存在如下字符串（这段字串是在病毒执行时弹出的对话框，诱使用户关闭其它杀毒软件）: 这个磁盘正受到微软防火墙的保护 如果其它反病毒软件阻止了微软防火墙的运行请关闭其它杀毒软件并 我们建议您只运行微软防火墙 来代替其它反病毒配置以获得更高的兼容性 等... 病毒文件伪装为微软文件，并附带如下版权信息: 备注:Microsoft Firewall Installer 12th Edition 产品版本:1.01.0040 产品名称:Microsoft Firewall Installer 公司:XC Microsoft 合法商标:Microsoft Firewall Installer 内部名称:FirewallN39 源文件名:FirewallN39.exe 特别提示：上述描述仅为金山软件进行病毒或其他恶意、不良程序测试过程中的事实情况记录，病毒或其他恶意、不良程序在不同的软硬件环境下具体行为可能存在差异，该显示结果并不必然具备推广适用性。 ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2008-10-7 17:15 gudan 高级用户 积分 605 发帖 579 注册 2007-7-20 #2   图标很好看 ※ ※ ※ 本文纯属【gudan】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 相思无用 唯别而已 别期若有定 千般煎熬又何如 莫道黯然销魂 何处柳暗花明 2008-10-7 23:13 killvxk 新手上路 积分 20 发帖 20 注册 2008-9-3 #3   这个病毒的所谓伪装签名其实是自己生成一个公司名字带有microsoft的签名... ※ ※ ※ 本文纯属【killvxk】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 2008-10-8 14:19 点饭的百度空间 银牌会员 积分 2315 发帖 2236 注册 2007-11-30 #4   卖了300万RMB 伪造微软签名MJ0011突破卡巴2009主动防御，穿还原系统? http://hi.baidu.com/micropoint/b ... 08f4c57931aa1f.html ※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【 微点交流论坛 】立场无关※ ※ ※ 你的微笑 is 微点的骄傲！ http://hi.baidu.com/new/micropoint 2008-10-8 18:07 论坛跳转: 微点软件公测区 安全快报  > 病毒快报  > 漏洞快报 微点产品在线技术支持  > 微点主动防御软件  > 预升级反馈专区  > 微点杀毒软件 微点用户交流区  > 微点新闻  > 微点软件使用交流  > 微点茶室 安全技术交流区  > 主动防御  > 反病毒  > 防火墙 综合区  > 电脑&数码  > 体育&娱乐&休闲  > 灌水区 版务管理 内部使用专区  可打印版本 | 推荐 | 订阅 | 收藏 [ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司 闽ICP备05030815号