微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 反病毒 » 反病毒杀手 (木马下载器病毒技术细节)希望对微点有帮助  

作者:
标题: 反病毒杀手 (木马下载器病毒技术细节)希望对微点有帮助
ok4758691230
新手上路





积分 4
发帖 4
注册 2008-6-30
#1  反病毒杀手 (木马下载器病毒技术细节)希望对微点有帮助

刚找到的不知 zhishang  说的是不是这个,希望对微点有帮助。

这是一个这是一个Delphi编写的木马程序,主要功能为下载并运行可疑文件并运行,该病毒的危害级别较高。

    1.病毒运行后会将调用CreateThread起两个线程,完成穿越杀毒软件主动防御和使各厂家软件病毒预警模块失效的功能。具体实现如下:

    (1)线程1:以10毫秒为周期,调用FindWindow查找“WINDOW:主动防御 信息”的窗口,调用SendMessage发送WM_LBUTTONDOWN和WM_LBUTTONUP消息,模拟鼠标左键点击“允许”按键,来通过杀毒软件的主动防御。

    (2)线程2:以5毫秒为周期,调用FindWindow查找"AVP.AlertDialog","AVP.Product_Notification","注册表警告","###McAlertWindow###","McAfee Personal Firewall Plus 警报","注册表监控提示"的"NotifyWnd"-报警的按键类窗口;调用SendMessage发送WM_CLOSE消息关闭这些病毒预警提示窗口,实现使各厂家软件病毒预警模块失效的功能。

    2.病毒会将自身复制到%WINDIR%\inf目录下,分析当时存储的文件名为MsnSvc64.exe(病毒复制到系统的的文件名和病毒原始文件名相同),并将资源中的动态库以文件名为usbctrl02.inf释放到同目录下,将这两个文件的属性设置为系统和隐藏,设置消息钩子将该动态库加载到系统进程中,该动态库主要功能为辅助主文件实现自身的加载、注册表项的修改和下载可疑文件并运行等功能。

    3.病毒会向注册表项
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options \ctfmon.exe
SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Explorer.exe

    中加入Debugger子键其键值为“%WINDIR%\inf \MsnSvc64.exe”。(指定的文件名为复制到系统中的病毒文件名)被修改后,如果运行指定程序ctfmon.exe,系统会自动将病毒文件运行起来。

    4.病毒会写如下注册表项,实现病毒主文件开机自启动
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\DNService
DNS Service = (IMAGEPATH)%WINDOWS%\INF\ MSNSVC64.EXE

危险等级:★★★
病毒名称:Trojan.DL.Win32.AntiAV.a
类型:病毒

感染的操作系统: Windows XP, Windows NT, Windows Server 2003, Windows 2000

威胁情况:

传播级别:中

全球化传播态势:低

破坏力:低

清除难度:困难

破坏手段:下载恶意程序并执行,具有穿越杀毒软件主动防御和使各厂家软件病毒预警模块失效的功能。

[ Last edited by ok4758691230 on 2008-8-6 at 14:39 ]

※ ※ ※ 本文纯属【ok4758691230】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-8-6 21:59
查看资料  发短消息   编辑帖子
ok4758691230
新手上路





积分 4
发帖 4
注册 2008-6-30
#2  

顺便问一下微点。

对与不是用户自主下载文件,而是用户机器内的不明下载器非法下载不明文件(不一定就是病毒)。不知微点对这种只下载文件并加以运行而自身对机器没有任何危害的东西(由于自身没有任何危害一般可以躲过任何主动防御系统)有没有处理办法。

显然微点有防火墙可以阻止其上网(该程序上网时微点可能会提醒但要人工进行选择对与初学者似乎有点难),这是对有进程的。

而对与那些没有进程(比如把自己挂到IE上的)的而言防火墙的阻拦作用等于零。对于这种东西不知微点有没有办法。

※ ※ ※ 本文纯属【ok4758691230】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-8-6 22:38
查看资料  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#3  

微点是根据病毒行为进行杀毒的,如果程序有病毒行为,微点就会立即报警拦截处理。下载不明文件只是一个单一的行为,不下载病毒不会对系统构成危害,如果被检测到有其他的病毒行为,微点会报警处理的。

楼主是否有病毒样本?如果有请发送到我们virus@micropoint.com.cn 邮箱,随信请附带此贴链接,谢谢

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2008-8-6 22:49
查看资料  发短消息   编辑帖子
ok4758691230
新手上路





积分 4
发帖 4
注册 2008-6-30
#4  

先赞一个都23.00了想不到客服跟帖如此之快,也不枉本人的100大洋了。
不好意识我没有病毒样本,今天突然想到了这个问题只是想来交流一下。


按照楼上的说法我是否可以理解为:如果该下载器下载的是病毒文件并加以运行的话微点可以很好的对该病毒文件进行处理。而无法对该下载器进行处理。

※ ※ ※ 本文纯属【ok4758691230】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-8-6 23:29
查看资料  发短消息   编辑帖子
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#5  

07年的病毒 微点杀


※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2008-8-7 07:34
查看资料  发送邮件  访问主页  发短消息   编辑帖子
如风过路
中级用户





积分 478
发帖 478
注册 2007-4-21
#6  



  Quote:
Originally posted by Legend at 2008-8-6 22:49:
微点是根据病毒行为进行杀毒的,如果程序有病毒行为,微点就会立即报警拦截处理。下载不明文件只是一个单一的行为,不下载病毒不会对系统构成危害,如果被检测到有其他的病毒行为,微点会报警处理的。

楼主是否 ...

可是这样会造成病毒反复查杀,始终杀不掉,会导致用户对微点的不信任,这是一个很重要的问题啊。

※ ※ ※ 本文纯属【如风过路】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-8-7 09:11
查看资料  发送邮件  发短消息   编辑帖子
lotei
版主

病毒区地方父母官


积分 776
发帖 775
注册 2006-10-14
来自 被人们遗忘了的村庄
#7  



  Quote:
Originally posted by 如风过路 at 2008-8-7 09:11:


可是这样会造成病毒反复查杀,始终杀不掉,会导致用户对微点的不信任,这是一个很重要的问题啊。

从楼主所贴出的病毒分析报告中看,此类行为微点能有效拦截!该下载器并非单一行为,一系列的动作构成的行为微点能有效的拦截并清除。

※ ※ ※ 本文纯属【lotei】个人意见,与【 微点交流论坛 】立场无关※ ※ ※


让自己更加睿智,其实看透了!你就放下了!
2008-8-7 10:00
查看资料  发送邮件  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号