微点交流论坛

标题: 疑似病毒报警: 请分析DW15是否为病毒或带毒文件.KIS7主动防御报警 [打印本页]

作者: 998csc 时间: 2007-8-30 15:20 标题: 疑似病毒报警: 请分析DW15是否为病毒或带毒文件.KIS7主动防御报警

一开机就有进程:尝试访问KIS进程(难道想干掉它?),5分钟后,出现这么个东西:2007-8-30 8:38:55 进程 C:\Program Files\Internet Explorer\DW15.EXE (PID 1652) 成功终止.

因为DW15老是要尝试修改IE程序,导致IE出错需要关闭出重启.用KIS7的主动防御猛点"别再提示",总算让它安静了一段时间.可是这个东西并没有想象中的那样安分,再随后的一段时间中总是被KIS7拦截和提示.似乎不连带调用了几个病毒和木马程序.......

请MP分析一下这个东东.有可能是还有隐藏在系统中的其他文件调用这个看似正常的DW15.EXE 因为大家得知道.DW15.EXE有可能是病毒伪装的病毒文件,或者DW15.EXE已经变心——带毒了。又或者它确实是微软的DW15但被病毒文件调用了。。。。。。

我已经把DW15.EXE打包成DW15.RAR 和MP6 打包成MP6.RAR一起发到support@micropoint.com.cn and virus@micropoint.com.cn

附：KIS7防御日志
===============================================
2007-8-30 8:33:08 进程  (PID 1220) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 864), 已被自我保护功能阻止。
2007-8-30 8:33:18 已经检测到安全威胁。建议您立即处理它们。
2007-8-30 8:33:28 进程  (PID 1092) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 864), 已被自我保护功能阻止。
2007-8-30 8:35:49 更新成功完成。
2007-8-30 8:35:51 进程  (PID 1008) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 864), 已被自我保护功能阻止。
2007-8-30 8:35:51 进程  (PID 1008) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 1696), 已被自我保护功能阻止。
2007-8-30 8:36:02 进程  (PID 1628) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 1696), 已被自我保护功能阻止。
2007-8-30 8:38:48 运行进程 C:\Program Files\Internet Explorer\DW15.EXE: 检测到新变种风险软件 Invader (loader)
2007-8-30 8:38:55 进程 C:\Program Files\Internet Explorer\DW15.EXE (PID 1652) 成功终止.
2007-8-30 8:38:58 恢复非完成。
2007-8-30 8:50:02 运行进程 C:\Documents and Settings\Administrator.X\Local Settings\Temporary Internet Files\Content.IE5\7URX5HFZ\20070829175030[1].exe: 检测到新变种风险软件 Invader (loader)
2007-8-30 8:51:01 更新成功完成。
2007-8-30 8:51:02 运行进程 C:\Program Files\Internet Explorer\DW15.EXE: 检测到新变种风险软件 Invader (loader)
2007-8-30 8:51:09 进程 C:\Program Files\Internet Explorer\DW15.EXE (PID: 2260): 试图执行可疑操作被拒绝.
2007-8-30 9:06:52 恶意 HTTP 对象 <http://www.pic38.com/lift06_04_0 ... ta.rar/my_70137.exe>: 已检测木马程序 Trojan-Downloader.Win32.QQHelper.abk.
2007-8-30 9:06:52 恶意 HTTP 对象 <http://www.pic38.com/lift06_04_0 ... ta.rar/my_70137.exe>: 拒绝访问.
2007-8-30 9:08:40 文件 C:\WINNT\TEMP\MY_70137.EXE: 检测到木马程序 Trojan-Downloader.Win32.QQHelper.abk
2007-8-30 9:08:50 文件 C:\WINNT\TEMP\MY_70137.EXE: 未清除, 被用户跳过
2007-8-30 9:08:50 文件 C:\WINNT\temp\my_70137.exe: 检测到木马程序 Trojan-Downloader.Win32.QQHelper.abk
2007-8-30 9:08:54 运行进程 C:\WINNT\Temp\SkypeClient.exe: 检测到新变种风险软件 Invader (loader)
2007-8-30 9:08:57 文件 C:\WINNT\temp\my_70137.exe: 删除
2007-8-30 9:08:58 文件 C:\DOCUMENTS AND SETTINGS\ALL USERS.WINNT\APPLICATION DATA\KASPERSKY LAB\AVP6\PDMHIST\H55B5CECB9F04471E.5283E24001C7EAA2.HISTORY\00000000.BAK: 检测到广告程序 not-a-virus:AdWare.Win32.Cinmus.cz
2007-8-30 9:08:58 文件 C:\DOCUMENTS AND SETTINGS\ALL USERS.WINNT\APPLICATION DATA\KASPERSKY LAB\AVP6\PDMHIST\H55B5CECB9F04471E.5283E24001C7EAA2.HISTORY\00000000.BAK: 删除
2007-8-30 9:08:58 文件 C:\DOCUMENTS AND SETTINGS\ALL USERS.WINNT\APPLICATION DATA\KASPERSKY LAB\AVP6\PDMHIST\H55B5CECB9F04471E.5283E24001C7EAA2.HISTORY\00000001.BAK: 检测到广告程序 not-a-virus:AdWare.Win32.Cinmus.cz
2007-8-30 9:08:59 文件 C:\DOCUMENTS AND SETTINGS\ALL USERS.WINNT\APPLICATION DATA\KASPERSKY LAB\AVP6\PDMHIST\H55B5CECB9F04471E.5283E24001C7EAA2.HISTORY\00000001.BAK: 删除
2007-8-30 9:09:06 进程 C:\WINNT\Temp\SkypeClient.exe (PID 2700) 成功终止.
2007-8-30 9:09:13 进程 C:\WINNT\Temp\ahart.exe (PID: 324): 试图执行可疑操作被拒绝.
2007-8-30 9:09:35 进程 C:\WINNT\Temp\ahart.exe (PID: 324): 试图执行可疑操作被拒绝.
2007-8-30 9:09:37 进程 C:\Program Files\Micropoint\MPSVC2.exe (PID: 488): 试图执行可疑操作被拒绝.
2007-8-30 9:09:37 进程 C:\WINNT\Temp\ahart.exe (PID: 324): 试图执行可疑操作被拒绝.
2007-8-30 9:14:34 运行进程 D:\RemoveWGA\RemoveWGA.exe: 检测到新变种风险软件 Invader (loader)
2007-8-30 9:58:46 进程  (PID 2280) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 864), 已被自我保护功能阻止。
2007-8-30 10:00:13 运行进程 C:\Program Files\Alisoft\WangWang\WangWang.exe: 添加到排除列表
2007-8-30 10:07:37 运行进程 C:\Program Files\Internet Explorer\DW15.EXE: 检测到新变种风险软件 Invader (loader)
2007-8-30 10:07:41 进程 C:\Program Files\Internet Explorer\DW15.EXE (PID 2336) 成功终止.
2007-8-30 10:07:47 恢复非完成。
2007-8-30 10:23:37 更新成功完成。
2007-8-30 11:08:08 进程  (PID 2264) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 864), 已被自我保护功能阻止。
2007-8-30 11:08:47 弹出窗口 http://www.cmbchina.com/ 已被阻止。
2007-8-30 11:18:22 进程  (PID 1244) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 852), 已被自我保护功能阻止。
2007-8-30 11:18:25 已经检测到安全威胁。建议您立即处理它们。
2007-8-30 11:18:41 进程  (PID 1116) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 852), 已被自我保护功能阻止。
2007-8-30 11:20:02 进程  (PID 1004) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 852), 已被自我保护功能阻止。
2007-8-30 11:20:02 进程  (PID 1004) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 1328), 已被自我保护功能阻止。
2007-8-30 11:21:23 进程  (PID 1760) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 1328), 已被自我保护功能阻止。
2007-8-30 11:23:40 进程  (PID 676) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 852), 已被自我保护功能阻止。
2007-8-30 14:15:43 进程  (PID 2136) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 852), 已被自我保护功能阻止。
2007-8-30 14:15:43 进程  (PID 2136) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 1328), 已被自我保护功能阻止。
2007-8-30 14:24:57 更新成功完成。
2007-8-30 14:34:54 运行进程 C:\WINNT\regedit.exe: 检测到新变种风险软件 Invader (loader)
2007-8-30 14:35:13 运行进程 C:\WINNT\regedit.exe: 检测到新变种风险软件 Invader (loader)
2007-8-30 15:04:34 进程  (PID 468) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 852), 已被自我保护功能阻止。
2007-8-30 15:04:34 进程  (PID 468) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 1328), 已被自我保护功能阻止。
2007-8-30 15:04:35 进程  (PID 600) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 852), 已被自我保护功能阻止。
2007-8-30 15:04:35 进程  (PID 600) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 1328), 已被自我保护功能阻止。
2007-8-30 15:07:09 进程  (PID 672) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 852), 已被自我保护功能阻止。
2007-8-30 15:07:09 进程  (PID 672) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 1328), 已被自我保护功能阻止。

=================================
二,有网友说与DW15有关的...

过了不少，卡吧、偌顿、AVG等都没有报。

Aditional Information

File size: 35840 bytes
MD5: 35dd26a679f1f63416dac1a58b41b0b9
SHA1: 54dd757c46e55b4e7735d5539713eeffc5a6a04c
CRC32 : DB83B3B5
RIPEMD160: 922669B252DF8C2BCEC268A462DCF6D6BF1E7D75

运行样本```

释放：

%Systemroot%\system32\DocProp1.dll  20992 字节
%Systemroot%\system32\msv1_1.dll  7680 字节
%Systemroot%\system32\servers.ini  138 字节

创建注册表：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msv1_1]
"Asynchronous"=dword:00000000
"DllName"=hex(2):6d,00,73,00,76,00,31,00,5f,00,31,00,2e,00,64,00,6c,00,6c,00,\
  00,00
"Impersonate"=dword:00000000
"Logon"="fnopendll"

其中msv1_1.dll插入Winlogon.exe（核心）进程。并隔一段时间利用IE调用dw15 -x -s 连接外部（实现反弹连接）
应该是下载一些乱七八糟的东东，不过测试时并未实现。

SSM的日志：

Parent process:
Path: C:\program files\Internet Explorer\IEXPLORE.EXE
PID: 1524
Information: Internet Explorer (Microsoft Corporation)
Child process:
Path: C:\program files\Internet Explorer\DW15.EXE
Information: Microsoft Application Error Reporting (Microsoft Corporation)
Command line:dw15 -x -s 600

并每隔60秒调用regsvr32.exe注册serverhelp.dll（%Systemroot%\system32\下的），测试并未发现生成。
好像还遍历生成了Autorun.inf和icvas.exe（不能验证）。
---------------------------------------------------------------------------------------
附件二：
关于dw15.exe病毒和Dropper.Gpigeon病毒的杀除 [|  2006-11-17 03:12]
大 | 中 | 小
　　终于完成了一部分计划的内容，但是随之而来的是中毒了~

　　表现： 1、不断出现浏览器错误；并提示重新启动浏览器。
　　　　　 2、进程中RPCS（控制和管理RPC数据库的服务程序，一般不自动启动）进程自动开启，并将其属性隐藏，改为系统隐藏属性。
　　　　　 3、DW15.EXE也出现；
　　　　　 4、浏览器自动访问不明站点，但此时浏览器并未开启，通过对端口监测发现，自动访问如：202.93.87.154的地址；
　　　　　 5、所有程序不能被终止，只能通过安全模式删除；
　　　　　 6、Gpigeon加载入浏览器程序文件：IEXPLORE.EXE，并自动长驻内存；

　　杀毒方法：

　　1、进入安全模式内（不要使用网络连接的安全模式）；
　　2、关闭服务内的：控制并管理RPC数据库服务（改为手动或者禁用）；
　　3、搜索并删除dw15.exe （所有，无论真假！）；
　　4、将%system%\winnt\system32\RpcS.exe 改名；
　　5、重新启动电脑，正常模式，使用专杀工具将Dropper.Gpigeon 杀之；

--------------------------------------------------------------
附图

[ Last edited by 998csc on 2007-8-30 at 15:39 ]

作者: 998csc 时间: 2007-8-30 15:23
嗯。有个特点，就是我手工删除了DW15.exe(可以很顺利的删除，就是不知道下回启动还会不会重现)，是这个地。。。。。随便打开一个IE上网文件，然后点击关闭后出现了。上图示的那个东东（因为回复不能图）。

作者: Legend 时间: 2007-8-30 15:23
谢谢楼主的反馈，请楼主短消息将您的邮箱地址给我，以便确认收到您的邮件.

作者: 998csc 时间: 2007-8-30 15:48
有问题啊。

我打包MP6目录时，提示出现：

错误
在mp6.rar中写入错误。磁盘可能已满
重试取消

这怎么搞啊？
然后我进入MP6目录，把其中的文件单独打包。也是出现这种提示·！

以为是MP监控没有退出，结果退出。依然。

然后去硬盘其他目录和文件测试，可是是正常的！只有MICROPOINT的所有目录和文件都是这样。为啥呢？

把MPSVC停了也是如此。。。。。晕哦。

作者: Legend 时间: 2007-8-30 15:52
您可以把微点安装目录下的 MP6 复制到桌面后再进行压缩就可以了

[ Last edited by Legend on 2007-8-30 at 15:54 ]

作者: 998csc 时间: 2007-8-30 15:55
OK。成功了。已经发送了。

作者: 998csc 时间: 2007-8-30 15:57
这个的确是Microsoft发布的一个小工具，这个工具给出在使用 .NET Framework 时你想看到的错误消息。错误消息询问你是否想发送一个错误报告给微软。（很多用户控告这个小程序是微软的间谍软件。），正常的话应该很多电脑中都有这个文件的，但就不一定都命名为iedw.exe，根据版本的不同，很多电脑上看到的文件名为dw15.exe。
--------------------------------------------------------------------------
但大家是否忽略了一点，DW15.EXE可能是真的也可能是伪装的。二就是DW15即使是真的，但可能会被VIRUS利用。。。。呵呵。。。。

作者: 998csc 时间: 2007-8-30 16:03
另外，忘了说了，我把家里的KIS7和我这儿的KIS6搞反了。呵呵。不过不妨碍大家讨论和MP分析吧？呵呵。

作者: Legend 时间: 2007-9-12 13:04
楼主的邮件我们已经收到，经过我们的反病毒专家分析确认该文件是正常程序，请放心使用。
非常感谢楼主的反馈和支持。如果还有什么问题请随时联系我们。

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn