Board logo

标题: 唉,又见微点杀不尽的毒 [打印本页]
作者: 星光HEAVEN     时间: 2009-10-29 12:48    标题: 唉,又见微点杀不尽的毒

该样本是被感染的安装包,可以被卡巴,红伞正常查杀,其中红伞报HEUR。笔者机器为雨林木风GHOST XP SP3 9.9,杀软为红点组合,红伞无监控。实机运行测试,微点报警,要求重启删除。
    重启后是能杀得掉,但出了两个问题:一是红伞启动不了了,avcenter,avgnt,sched这三个进程被屏蔽。二是微点杀毒能力变弱,对于同类带毒文件,只能特征识别其下一级衍生物(因为以前见过,连原文件一起都可杀)并杀除,对原文件无动作(日志里说处理成功,但文件没动)。诡异的是,在进程,模块,自启中都未见异常。除了一个文件ntsd.exe(附件中有,微点显示为微软文件,为Winlogon创建)我认为可疑,但不知如何处理。我猜是病毒修改了特定文件,进程关联的问题。后来重装几次红伞,都打不开。在虚拟机上以相同条件重复测,发现不仅红伞,小A与AvG等也被屏蔽了。
    这次测试说明微点在回滚上还是有不足。从日志上看,病毒调用SVCHOST,CMD创建文件,修改参数。我想可能是检测不彻底的原因之一吧。
现在我的机器除微点外,还装不了任何杀软。希望微点官方能对该样本详细分析一下,对其运行原理,创建文件,修改参数等给个详尽回复。尤其请帮解决一下红伞等杀软被封的问题!十分感谢。
另,含有该贴地址的邮件已发送,内含技术支持信息,样本与截图,望速查收,并尽快回复。
作者: 星光HEAVEN     时间: 2009-10-29 12:49    标题: 占楼

通过自己进一步研究,该病毒屏蔽杀软的原理我已大致了解了。猜想正确,ntsd.exe本身是微软的Debug文件,但在此被病毒利用,以进程关联的形式,达到屏蔽的目的。
http://mpicture.micropoint.com.c ... bd6f5e127fc0418c209
从Autoruns的截图可看出,它的"打击面"够广,360,红伞,卡巴,诺顿,瑞星,包括微点(如果先中毒后装,肯定也起不来),都在屏蔽范围内。还有一些我不认识的。删除有关的全部启动项(因为此前在微点里还删了一部分,这是剩下的,而avgnt的Debug项已被我在截图前删掉,所以可以看到红伞的托盘了,但avcenter还出不来),一切恢复正常。


感言:灭杀软的毒见过不少,但这个可挺有特色。不遍历进程,不释放驱动,不劫持映像,直接利用SVCHOST创建Debug文件,可谓以逸待劳。也正因为用的是系统命令,所以微点没对相关项目回滚。微点要加油了!
清毒过程中,觉得除了主防技术本身,微点还有些其他需改进之处,在此汇总一下:
    自启信息方面:
感觉除了白名单,和Auto比起来确实有些相形见绌。首先对ntsd.exe的指向就不够细,而且还说是正常软件,白名单在这里反而成了病毒"迷彩服"。
http://mpicture.micropoint.com.c ... d4e0c61a8b36cce9640
而Auto的显示,一看名称,就知道出事了。
并且Auto有一个compare的功能,很好用。微点该考虑也做一个,尤其可以针对性解决这次的情况。
不过我还有个更好的思路,微点不是有注册表监控吗?凡自启动必更改注册表,所以完全可实时对自启变化进行监测,而不是每次都重新扫一遍。这样还有个好处,就是可以显示各项的真实生成时间!
本来注册表日志中,是有病毒在Debug上乱来的痕迹的,但在自启中却看不出。看样子单靠白名单来分析也不行。显示具体时间,不失为一个好的补充。另外在清理上,一个一个删实在太费时间了。能一次处理多个才好。还有,微点可能是出于安全性考虑,对已知项是不可删的。但以此案例来看,这个限制似乎也该放开了。
顺便说句题外话,微点也该开放进程模块卸除与全局卸除了,道理其实是一样的。
    关于日志方面:
鉴于可能再次发生的回滚不全,强烈建议在程序,注册表日志中,让用户手动操作微点对指定项回滚。
还有就是进程日志,信息还是不够细。加上父进程信息,退出情况(是自动还是被其他哪个进程terminate),以及启动失败情况及其原因方面的信息,会更好。
另外内核注入,系统命令调用方面也该有日志的!希望下一版本能做出来。
    扫描问题:
扫描,尤其是虚拟机动态启发式扫描,远不像某些马甲所声称的那样一无是处。觌如这个样本,看上去挺新,伞没有定义,但红伞的启发仍然表现出色。虽然经测试,微点杀软a版没杀出来(郁闷中),但可以想像,整合了拥有红伞般强大能力的启发式监控与扫描器的微点,将掀起怎样的狂潮……至少不是今天的麻烦!扫描上还是要下功夫的!
以上是个人的一些感想和建议,希望官方认真考虑!也期待新版本微点早日发布,并取得更大进步!

[ Last edited by 星光HEAVEN on 2009-10-30 at 13:03 ]
作者: Legend     时间: 2009-10-29 12:51
感谢楼主的反馈,请问楼主您将相关信息发送到哪个邮箱了(support还是virus)?请您将您使用的发件邮箱通过论坛短消息给我发送一下,以便我们对此问题跟踪处理。
作者: images     时间: 2009-10-29 13:19
应该是你的红伞被映像劫持了,打开注册表定位到[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options]看看里面是否有和你的红伞文件名称相同的右键删除即可。
作者: yuqing     时间: 2009-10-29 13:20
关注一下
作者: qqwangtao     时间: 2009-10-29 15:48
楼主也是,测试为什么不在虚拟机,或影子系统等重启还原类系统下测试??!
作者: safeage     时间: 2009-10-29 16:12
这个问题要关注一下。
作者: 星光HEAVEN     时间: 2009-10-30 12:58    标题: got it

解决方法已研究出,在二楼

后来在家侧,突然发现该样本微点已入库:lol:(我的特征库是上个月的)。
但想了想还是贴出来了,大家随便看看。顺便说了些感言。

[ Last edited by 星光HEAVEN on 2009-10-30 at 13:02 ]
作者: Legend     时间: 2009-11-4 16:21
楼主反馈的样本文件我们已经分析
文件名: JHHB.EXE
结果:该程序为蠕虫病毒,未升级到最新版本的微点能够有效拦截该病毒。
感谢楼主的反馈,此主题关闭,如您还有其他问题需要反馈,请您另开新帖讨论。



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn