微点交流论坛

标题: 可疑文件，请求分析 [打印本页]

作者: United 时间: 2006-6-19 01:54 标题: 可疑文件，请求分析

前阵子试用了一个杀毒软件感觉还不错，但终究是要到期的，所以换了微点，希望体验一下另一种反病毒系统。顺手又装上了EWIDO4，试试看新版本如何。在装完微点后更新至最新版本，一切正常，诊断了一下没有发现可疑程序。然后又把EWIDO更新了一下，报告System32目录下有一个文件mshtmlbd.dll是Downloader.VB.abu，把名字复制下来去网上搜了一下，一点消息都没有，对关键字删删减减最后查到了一个名字类似的文件的消息

http://bbs.et8.net/bbs/showthread.php?t=754297

Quote:

1. 来源于未知待查(已经忘了随什么带来的).
看病毒隐藏自建文档的最早日期是: 20060507

2. 添加修改注册表:

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\CLSID\{A98AA587-8734-4A05-9FB4-8BF0138199AF}\InprocServer32]
@="E:\\WINDOWS\\system32\\mshtmlet.dll"
"ThreadingModel"="Apartment"

[HKEY_LOCAL_MACHINE\SOFTWARE\Classes\TypeLib\{809D8E8B-9843-4D07-97B9-AE511334D43F}\1.0\0\win32]
@="E:\\WINDOWS\\system32\\mshtmlet.dll"

3. mshtmlet.dll冒充微软文档版本骗人
所以, 使用CCFer小青蛙的"Windows Shell 扩展菜单管理器"cxtmgr发现这个"Open With"后也没有产生怀疑.
http://www.kztechs.com/cxtmgr/

4. 点击鼠标右键随机性不定时会出现自建一个不知来自何处的2.74MB的"system"名字的压缩文档到system32/ShellExt目录下, 并自解压到system32/IME目录下并自动运行四个可执行文件.

KAV病毒报警:

system32\IME\ocxreg32.exe -> Trojan-Downloader.Win32.Agent.ajf
system32\IME\strequl.dll -> Trojan-Downloader.Win32.Small.cpv
system32\IME\inkt5.dll -> Trojan.Win32.StarPage.aia
system32\IME\vbchs6.dll/data0001 -> Trojan.Win32.Agent.se
system32\IME\Weather_24.exe/IEXPLORER.EXE -> Trojan-Downloader.Win32.Agent.akh
system32\IME\yctsetup.dll/WISE0007.BIN -> Trojan-Downloader.Win32.Small.csr

删除上面的自建文档后(未清除mshtmlet.dll)的情况下, 再次点击鼠标右键就还会出现.

5. 捆绑三个垃圾

1) 竟然是捆绑了中搜垃圾
http://www.zhongsou.com

2) 捆绑了一个Weather.exe天气预报 (x.x.x.x:DNS随机多变) -- 可报上海天气预报.
视频搜索引擎广告: www.5kee.com

3) 捆绑一个广告垃圾: neweb.com.cn

6. KAV于20060426就报了: Trojan-Downloader.Win32.VB.abu
http://www.viruslist.com/en/sear ... loader.Win32.VB.abu

不知道: 为什么一直待在我的电脑里面直到20060524今天晚上才报警?! 总算基本安静了 - 至少不再会自建垃圾文档啦!

看完之后才想起来不知道从什么时候开始，有时候对文件或者目录点击右键后系统会卡上几秒，然后卡巴防火墙弹出一个C:\WINDOWS\EXPLORER.EXE请求网络连接的提示，目标IP 210.51.170.68 端口80，当时查过IP，“查询结果1：北京市义庄网通国际大厦中索机房网通IDC
查询结果2：北京市网通亦庄IDC中心
”。心想我上海ADSL怎么会需要连北京网通的东西，于是建立了规则禁止，可是也没把它放在心上。现在结合上面的消息看，我怀疑EWIDO在我机子上查出来的文件可能就是罪魁凶手。

于是我把卡巴里的阻止规则删除，过一段时间就点几次右键终于触发了这个事件，卡巴提示网络连接请求，当时微点正在运行，我另外还开了ICESWORD，同时把EWIDO关掉（防止再报文件）。同意连接请求后，通过观察微点和IS的记录似乎并没有进一步的事情发生，于是越发疑惑。仔细看了一下当时的运行记录，微点的注册表日志，程序生成日志都没有相关记录，而程序启动日志有4次VERCLSID.EXE的启动记录，在IS的监视线程创建里情况也是差不多,我机子上的ProcessGuard一直没有提示任何新程序运行请求。虽然从目前的情况看那个文件很可能是死的，但在没有确定之前心里始终是不太舒服，所以把文件打包上传到论坛，希望微点能帮忙分析一下，十分感谢！
（样本已发往virus@micropoint.com.cn）

以下是注册表进行关键字搜索的结果（最后桌面上那个是我压缩文件的时候放出来的）

[ Last edited by United on 2006-6-19 at 02:03 ]

附件 1: v.jpg (2006-6-19 01:54, 43.38 K,下载次数： 45)

附件 2: v3.JPG (2006-6-19 02:07, 56.05 K,下载次数： 27)

作者: Legend 时间: 2006-6-19 02:22
好的谢谢你能提供相关信息 ,我们会分析你发过来的文件的.

作者: United 时间: 2006-6-19 02:30
第一次没有加密发送直接被卡巴拦截，第二次加密发送，提示成功，但不知道是否真的送了出去，如果明天还没收到的话请告诉我，我再发：）

作者: Legend 时间: 2006-6-21 10:47
样本已经收到。这个确实是一个病毒，微点可以查杀这个病毒

作者: United 时间: 2006-6-21 23:21
确实已经可以查杀，谢谢：）

作者: tianjinzip 时间: 2006-9-27 17:50
我也遇到来这种情况，用瑞星、江民、ewido，费尔都不能搞定，我应该怎么办？
微点也没什么反应呀？

作者: Legend 时间: 2006-9-27 17:54
请问您的微点版本是多少？
请具体说下您的情况

作者: tianjinzip 时间: 2006-9-28 09:48
微点主动防御软件
程序版本： 1.2.10473
特征版本： 1.3.122.060927
更新时间： 2006-09-27 18:28:26

每次出现explorer.exe请求连接是我都用瑞星拒绝了其连接网络的请求，昨天晚上把瑞星关了以后微点就发现了

作者: tianjinzip 时间: 2006-9-28 09:57
不过微点提示C:\WINDOWS\SYSTEM32\IEDETECT.DLL清理失败，提示我重启，然后在系统文件夹中找不到这个文件了，是不是这个木马已被清除干净了？

还有一个问题不知和这个木马有没有关系，我的硬盘的最后一个分区G盘里有一个自建的windows文件夹，里面是我从系统盘转移过来的临时文件夹，收藏夹，以及桌面等，最近点击这个windows文件夹时老是会假死一会儿，等上十几秒后才反应过来，以前没有这种现象的，整个硬盘也就这个文件夹有问题，用各种杀毒软件也查不出个所以然来，登陆其它用其它账户点击这个文件夹有都很正常，在安全模式下点击这个文件夹也正常，真不知是是什么原因，很是郁闷！！

作者: Legend 时间: 2006-9-28 10:02
请看下您的微点的木马日志是否记录C:\WINDOWS\SYSTEM32\IEDETECT.DLL处理成功，看下微点的有害程序隔离区是否有那个文件存在；

请问您的这个windows文件夹下都有什么文件？关闭微点的服务还会出现吗？

作者: tianjinzip 时间: 2006-9-28 10:25
木马日志中没有记录这个C:\WINDOWS\SYSTEM32\IEDETECT.DLL处理成功，不过
有害程序隔离区有这个文件存在，
关掉所有监控软件包括微点的服务后还是会出现这种情况，里面是我从系统盘转移过来的临时文件夹，收藏夹，以及桌面等，如图

附件 1: 4.jpg (2006-9-28 10:25, 18.54 K,下载次数： 54)

作者: Legend 时间: 2006-9-28 10:36
谢谢您的反馈；
如果隔离区里面有的话，那个文件应该已经被微点处理了；

关于您的那个文件夹，如果关闭微点的服务仍然出现，应该不是微点引起的；
您可以试着移动里面的文件试试看具体是哪个文件导致的。

作者: tianjinzip 时间: 2006-9-28 10:57
好的，谢谢了！

欢迎光临微点交流论坛 (http://bbs.micropoint.com.cn/)

bbs.micropoint.com.cn