微点交流论坛 - 主动防御 - 病毒分析－

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 主动防御 » 病毒分析－－beep.exe

点饭的百度空间
银牌会员

积分 2315
发帖 2236
注册 2007-11-30

#1 病毒分析－－beep.exe

BY:unknown tycoon

写在前面：

半年多没有在blog上面写过病毒分析了，今天回家实在没事做，模仿微点的格式写一个，还比较菜，分析的不是很正确，不要见笑，多多包含。清除方法测试成功，为保证准确性均重启后验证，从分析至测试完毕计算机共重启三次，正好十二点听催眠曲睡觉。

==================================================================================

样本名称:：beep.exe
样本来源：卡饭论坛
文件字长:：64,707 字节
加壳方式:：无
编写语言：Microsoft Visual C++ 6.0
MD5校验 ：ca9d511374e0711e56ac2c871c826372
AV命名　：微点未知
样本定义：后门程序
衍生物　：
　　微软进程保护服务.dll；Vip版本可能存在“微软进程保护服务.sys”、“微软进程保护服务.pxy”、“微软进程保护服务.drv”等文件

细节分析：
　　病毒运行后间接调用“TCPQueryInformationEx”检测网络，获取IP地址、子网掩码、网关等信息，连接远程ip“122.64.65.62”；创建文件“微软进程保护服务.dll”至%SystemRoot%\System32目录下，文件长度59,216 字节，获取system32目录打开Svchost.exe取文件创建时间，将此时间对“微软进程保护服务.dll”进行设置，加载该dll。
　　该dll加载后注册服务“微软进程保护服务”、服务描述为“Microsoft Corporation”、显示名称“KEEP PROTECT”，程序版本“黑吧免杀专版　普通客户组”，通过Svchost.exe　-k启动，启动方式为auto；分析API调用该程序应该具有注册表管理、视频截图、文件管理、进程管理、自动更新、DDoS、远程关机等功能。

注册表：
服务项
　　　　HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\微软进程保护服务
键值　
　　　　Description　“Microsoft Corporation”
　　　　DisplayName　“KEEP PROTECT”
　　　　ImagePath　　“C:\windows\system32\svchost.exe -k 微软进程保护服务”
　　　　ServiceDll “%SystemRoot%\System32\微软进程保护服务.dll”
　　　　Start　　　　“2”

解决方案：
自动
　　安装微点主动防御软件对该类型后门进行拦截，行为防御以及中毒清除均有效，附清除效果图片（实机重启测试）

微点下载页面：http://www.micropoint.com.cn/mpdownload.php

清除前

清除后

手杀
　　使用Wsyscheck在“服务管理”里面对相应服务右键选择“停止服务”、“删除服务及文件”

原作者工具下载页面：http://free5.ys168.com/?wangsea（soft目录下WsyscheckXXXXXX，X为版本号）

※ ※ ※ 本文纯属【点饭的百度空间】个人意见，与【微点交流论坛】立场无关※ ※ ※

你的微笑 is 微点的骄傲！
http://hi.baidu.com/new/micropoint

2008-3-31 19:57

微点卫士
银牌会员

积分 1198
发帖 1176
注册 2006-6-19
来自上海市松江区

#2

我当初试了下，怎么微点米报警额，是不是要等会
诶，我还上报了，加重了分析人员的脑力劳动，对此表示深切的惭愧

※ ※ ※ 本文纯属【微点卫士】个人意见，与【微点交流论坛】立场无关※ ※ ※

[img]http://v.t.qq.com/cgi-bin/signature?name=mpguard&sign=26fc347cc5c2e739a337896675ca533cb68324b6&type=2[/img]

2008-3-31 22:44

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号