标题:
病毒分析--beep.exe
[打印本页]
作者:
点饭的百度空间
时间:
2008-3-31 19:57
标题:
病毒分析--beep.exe
BY:unknown tycoon
写在前面:
半年多没有在blog上面写过病毒分析了,今天回家实在没事做,模仿微点的格式写一个,还比较菜,分析的不是很正确,不要见笑,多多包含。清除方法测试成功,为保证准确性均重启后验证,从分析至测试完毕计算机共重启三次,正好十二点听催眠曲睡觉。
==================================================================================
样本名称
::beep.exe
样本来源
:卡饭论坛
文件字长
::64,707 字节
加壳方式
::无
编写语言
:Microsoft Visual C++ 6.0
MD5校验
:ca9d511374e0711e56ac2c871c826372
AV命名
:微点未知
样本定义
:后门程序
衍生物
:
微软进程保护服务.dll;Vip版本可能存在“微软进程保护服务.sys”、“微软进程保护服务.pxy”、“微软进程保护服务.drv”等文件
细节分析
:
病毒运行后间接调用“TCPQueryInformationEx”检测网络,获取IP地址、子网掩码、网关等信息,连接远程ip“122.64.65.62”;创建文件“微软进程保护服务.dll”至%SystemRoot%\System32目录下,文件长度59,216 字节,获取system32目录打开Svchost.exe取文件创建时间,将此时间对“微软进程保护服务.dll”进行设置,加载该dll。
该dll加载后注册服务“微软进程保护服务”、服务描述为“Microsoft Corporation”、显示名称“KEEP PROTECT”,程序版本“黑吧 免杀专版 普通客户组”,通过Svchost.exe -k启动,启动方式为auto;分析API调用该程序应该具有注册表管理、视频截图、文件管理、进程管理、自动更新、DDoS、远程关机等功能。
注册表
:
服务项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\微软进程保护服务
键值
Description “Microsoft Corporation”
DisplayName “KEEP PROTECT”
ImagePath “C:\windows\system32\svchost.exe -k 微软进程保护服务”
ServiceDll “%SystemRoot%\System32\微软进程保护服务.dll”
Start “2”
解决方案
:
自动
安装微点主动防御软件对该类型后门进行拦截,行为防御以及中毒清除均有效,附清除效果图片(实机重启测试)
微点下载页面:
http://www.micropoint.com.cn/mpdownload.php
清除前
清除后
手杀
使用Wsyscheck在“服务管理”里面对相应服务右键选择“停止服务”、“删除服务及文件”
原作者工具 下载页面:
http://free5.ys168.com/?wangsea
(soft目录下WsyscheckXXXXXX,X为版本号)
作者:
微点卫士
时间:
2008-3-31 22:44
我当初试了下,怎么微点米报警额,是不是要等会
诶,我还上报了,加重了分析人员的脑力劳动,对此表示深切的惭愧
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
