微点交流论坛 - 预升级反馈专区 - 疑似病毒报警: 请分析DW15是否为病毒或带毒文件.KIS7主动防御报警

» 游客: 注册 | 登录 | 帮助

微点交流论坛 » 预升级反馈专区 » 疑似病毒报警: 请分析DW15是否为病毒或带毒文件.KIS7主动防御报警

998csc
中级用户

积分 304
发帖 304
注册 2007-2-2
来自 sz

#1 疑似病毒报警: 请分析DW15是否为病毒或带毒文件.KIS7主动防御报警

一开机就有进程:尝试访问KIS进程(难道想干掉它?),5分钟后,出现这么个东西:2007-8-30 8:38:55 进程 C:\Program Files\Internet Explorer\DW15.EXE (PID 1652) 成功终止.

因为DW15老是要尝试修改IE程序,导致IE出错需要关闭出重启.用KIS7的主动防御猛点"别再提示",总算让它安静了一段时间.可是这个东西并没有想象中的那样安分,再随后的一段时间中总是被KIS7拦截和提示.似乎不连带调用了几个病毒和木马程序.......

请MP分析一下这个东东.有可能是还有隐藏在系统中的其他文件调用这个看似正常的DW15.EXE 因为大家得知道.DW15.EXE有可能是病毒伪装的病毒文件,或者DW15.EXE已经变心——带毒了。又或者它确实是微软的DW15但被病毒文件调用了。。。。。。

我已经把DW15.EXE打包成DW15.RAR 和MP6 打包成MP6.RAR一起发到support@micropoint.com.cn and virus@micropoint.com.cn

附：KIS7防御日志
===============================================
2007-8-30 8:33:08 进程  (PID 1220) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 864), 已被自我保护功能阻止。
2007-8-30 8:33:18 已经检测到安全威胁。建议您立即处理它们。
2007-8-30 8:33:28 进程  (PID 1092) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 864), 已被自我保护功能阻止。
2007-8-30 8:35:49 更新成功完成。
2007-8-30 8:35:51 进程  (PID 1008) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 864), 已被自我保护功能阻止。
2007-8-30 8:35:51 进程  (PID 1008) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 1696), 已被自我保护功能阻止。
2007-8-30 8:36:02 进程  (PID 1628) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 1696), 已被自我保护功能阻止。
2007-8-30 8:38:48 运行进程 C:\Program Files\Internet Explorer\DW15.EXE: 检测到新变种风险软件 Invader (loader)
2007-8-30 8:38:55 进程 C:\Program Files\Internet Explorer\DW15.EXE (PID 1652) 成功终止.
2007-8-30 8:38:58 恢复非完成。
2007-8-30 8:50:02 运行进程 C:\Documents and Settings\Administrator.X\Local Settings\Temporary Internet Files\Content.IE5\7URX5HFZ\20070829175030[1].exe: 检测到新变种风险软件 Invader (loader)
2007-8-30 8:51:01 更新成功完成。
2007-8-30 8:51:02 运行进程 C:\Program Files\Internet Explorer\DW15.EXE: 检测到新变种风险软件 Invader (loader)
2007-8-30 8:51:09 进程 C:\Program Files\Internet Explorer\DW15.EXE (PID: 2260): 试图执行可疑操作被拒绝.
2007-8-30 9:06:52 恶意 HTTP 对象 <http://www.pic38.com/lift06_04_0 ... ta.rar/my_70137.exe>: 已检测木马程序 Trojan-Downloader.Win32.QQHelper.abk.
2007-8-30 9:06:52 恶意 HTTP 对象 <http://www.pic38.com/lift06_04_0 ... ta.rar/my_70137.exe>: 拒绝访问.
2007-8-30 9:08:40 文件 C:\WINNT\TEMP\MY_70137.EXE: 检测到木马程序 Trojan-Downloader.Win32.QQHelper.abk
2007-8-30 9:08:50 文件 C:\WINNT\TEMP\MY_70137.EXE: 未清除, 被用户跳过
2007-8-30 9:08:50 文件 C:\WINNT\temp\my_70137.exe: 检测到木马程序 Trojan-Downloader.Win32.QQHelper.abk
2007-8-30 9:08:54 运行进程 C:\WINNT\Temp\SkypeClient.exe: 检测到新变种风险软件 Invader (loader)
2007-8-30 9:08:57 文件 C:\WINNT\temp\my_70137.exe: 删除
2007-8-30 9:08:58 文件 C:\DOCUMENTS AND SETTINGS\ALL USERS.WINNT\APPLICATION DATA\KASPERSKY LAB\AVP6\PDMHIST\H55B5CECB9F04471E.5283E24001C7EAA2.HISTORY\00000000.BAK: 检测到广告程序 not-a-virus:AdWare.Win32.Cinmus.cz
2007-8-30 9:08:58 文件 C:\DOCUMENTS AND SETTINGS\ALL USERS.WINNT\APPLICATION DATA\KASPERSKY LAB\AVP6\PDMHIST\H55B5CECB9F04471E.5283E24001C7EAA2.HISTORY\00000000.BAK: 删除
2007-8-30 9:08:58 文件 C:\DOCUMENTS AND SETTINGS\ALL USERS.WINNT\APPLICATION DATA\KASPERSKY LAB\AVP6\PDMHIST\H55B5CECB9F04471E.5283E24001C7EAA2.HISTORY\00000001.BAK: 检测到广告程序 not-a-virus:AdWare.Win32.Cinmus.cz
2007-8-30 9:08:59 文件 C:\DOCUMENTS AND SETTINGS\ALL USERS.WINNT\APPLICATION DATA\KASPERSKY LAB\AVP6\PDMHIST\H55B5CECB9F04471E.5283E24001C7EAA2.HISTORY\00000001.BAK: 删除
2007-8-30 9:09:06 进程 C:\WINNT\Temp\SkypeClient.exe (PID 2700) 成功终止.
2007-8-30 9:09:13 进程 C:\WINNT\Temp\ahart.exe (PID: 324): 试图执行可疑操作被拒绝.
2007-8-30 9:09:35 进程 C:\WINNT\Temp\ahart.exe (PID: 324): 试图执行可疑操作被拒绝.
2007-8-30 9:09:37 进程 C:\Program Files\Micropoint\MPSVC2.exe (PID: 488): 试图执行可疑操作被拒绝.
2007-8-30 9:09:37 进程 C:\WINNT\Temp\ahart.exe (PID: 324): 试图执行可疑操作被拒绝.
2007-8-30 9:14:34 运行进程 D:\RemoveWGA\RemoveWGA.exe: 检测到新变种风险软件 Invader (loader)
2007-8-30 9:58:46 进程  (PID 2280) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 864), 已被自我保护功能阻止。
2007-8-30 10:00:13 运行进程 C:\Program Files\Alisoft\WangWang\WangWang.exe: 添加到排除列表
2007-8-30 10:07:37 运行进程 C:\Program Files\Internet Explorer\DW15.EXE: 检测到新变种风险软件 Invader (loader)
2007-8-30 10:07:41 进程 C:\Program Files\Internet Explorer\DW15.EXE (PID 2336) 成功终止.
2007-8-30 10:07:47 恢复非完成。
2007-8-30 10:23:37 更新成功完成。
2007-8-30 11:08:08 进程  (PID 2264) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 864), 已被自我保护功能阻止。
2007-8-30 11:08:47 弹出窗口 http://www.cmbchina.com/ 已被阻止。
2007-8-30 11:18:22 进程  (PID 1244) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 852), 已被自我保护功能阻止。
2007-8-30 11:18:25 已经检测到安全威胁。建议您立即处理它们。
2007-8-30 11:18:41 进程  (PID 1116) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 852), 已被自我保护功能阻止。
2007-8-30 11:20:02 进程  (PID 1004) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 852), 已被自我保护功能阻止。
2007-8-30 11:20:02 进程  (PID 1004) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 1328), 已被自我保护功能阻止。
2007-8-30 11:21:23 进程  (PID 1760) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 1328), 已被自我保护功能阻止。
2007-8-30 11:23:40 进程  (PID 676) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 852), 已被自我保护功能阻止。
2007-8-30 14:15:43 进程  (PID 2136) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 852), 已被自我保护功能阻止。
2007-8-30 14:15:43 进程  (PID 2136) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 1328), 已被自我保护功能阻止。
2007-8-30 14:24:57 更新成功完成。
2007-8-30 14:34:54 运行进程 C:\WINNT\regedit.exe: 检测到新变种风险软件 Invader (loader)
2007-8-30 14:35:13 运行进程 C:\WINNT\regedit.exe: 检测到新变种风险软件 Invader (loader)
2007-8-30 15:04:34 进程  (PID 468) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 852), 已被自我保护功能阻止。
2007-8-30 15:04:34 进程  (PID 468) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 1328), 已被自我保护功能阻止。
2007-8-30 15:04:35 进程  (PID 600) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 852), 已被自我保护功能阻止。
2007-8-30 15:04:35 进程  (PID 600) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 1328), 已被自我保护功能阻止。
2007-8-30 15:07:09 进程  (PID 672) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 852), 已被自我保护功能阻止。
2007-8-30 15:07:09 进程  (PID 672) 尝试访问卡巴斯基互联网安全套装 6.0 进程 (PID 1328), 已被自我保护功能阻止。

=================================
二,有网友说与DW15有关的...

过了不少，卡吧、偌顿、AVG等都没有报。

Aditional Information

File size: 35840 bytes
MD5: 35dd26a679f1f63416dac1a58b41b0b9
SHA1: 54dd757c46e55b4e7735d5539713eeffc5a6a04c
CRC32 : DB83B3B5
RIPEMD160: 922669B252DF8C2BCEC268A462DCF6D6BF1E7D75

运行样本```

释放：

%Systemroot%\system32\DocProp1.dll  20992 字节
%Systemroot%\system32\msv1_1.dll  7680 字节
%Systemroot%\system32\servers.ini  138 字节

创建注册表：

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\msv1_1]
"Asynchronous"=dword:00000000
"DllName"=hex(2):6d,00,73,00,76,00,31,00,5f,00,31,00,2e,00,64,00,6c,00,6c,00,\
  00,00
"Impersonate"=dword:00000000
"Logon"="fnopendll"

其中msv1_1.dll插入Winlogon.exe（核心）进程。并隔一段时间利用IE调用dw15 -x -s 连接外部（实现反弹连接）
应该是下载一些乱七八糟的东东，不过测试时并未实现。

SSM的日志：

Parent process:
Path: C:\program files\Internet Explorer\IEXPLORE.EXE
PID: 1524
Information: Internet Explorer (Microsoft Corporation)
Child process:
Path: C:\program files\Internet Explorer\DW15.EXE
Information: Microsoft Application Error Reporting (Microsoft Corporation)
Command line:dw15 -x -s 600

并每隔60秒调用regsvr32.exe注册serverhelp.dll（%Systemroot%\system32\下的），测试并未发现生成。
好像还遍历生成了Autorun.inf和icvas.exe（不能验证）。
---------------------------------------------------------------------------------------
附件二：
关于dw15.exe病毒和Dropper.Gpigeon病毒的杀除 [|  2006-11-17 03:12]
大 | 中 | 小
　　终于完成了一部分计划的内容，但是随之而来的是中毒了~

　　表现： 1、不断出现浏览器错误；并提示重新启动浏览器。
　　　　　 2、进程中RPCS（控制和管理RPC数据库的服务程序，一般不自动启动）进程自动开启，并将其属性隐藏，改为系统隐藏属性。
　　　　　 3、DW15.EXE也出现；
　　　　　 4、浏览器自动访问不明站点，但此时浏览器并未开启，通过对端口监测发现，自动访问如：202.93.87.154的地址；
　　　　　 5、所有程序不能被终止，只能通过安全模式删除；
　　　　　 6、Gpigeon加载入浏览器程序文件：IEXPLORE.EXE，并自动长驻内存；

　　杀毒方法：

　　1、进入安全模式内（不要使用网络连接的安全模式）；
　　2、关闭服务内的：控制并管理RPC数据库服务（改为手动或者禁用）；
　　3、搜索并删除dw15.exe （所有，无论真假！）；
　　4、将%system%\winnt\system32\RpcS.exe 改名；
　　5、重新启动电脑，正常模式，使用专杀工具将Dropper.Gpigeon 杀之；

--------------------------------------------------------------
附图

[ Last edited by 998csc on 2007-8-30 at 15:39 ]

※ ※ ※ 本文纯属【998csc】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-8-30 15:20

998csc
中级用户

积分 304
发帖 304
注册 2007-2-2
来自 sz

#2

嗯。有个特点，就是我手工删除了DW15.exe(可以很顺利的删除，就是不知道下回启动还会不会重现)，是这个地。。。。。随便打开一个IE上网文件，然后点击关闭后出现了。上图示的那个东东（因为回复不能图）。

※ ※ ※ 本文纯属【998csc】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-8-30 15:23

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#3

谢谢楼主的反馈，请楼主短消息将您的邮箱地址给我，以便确认收到您的邮件.

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2007-8-30 15:23

998csc
中级用户

积分 304
发帖 304
注册 2007-2-2
来自 sz

#4

有问题啊。

我打包MP6目录时，提示出现：

错误
在mp6.rar中写入错误。磁盘可能已满
重试取消

这怎么搞啊？
然后我进入MP6目录，把其中的文件单独打包。也是出现这种提示·！

以为是MP监控没有退出，结果退出。依然。

然后去硬盘其他目录和文件测试，可是是正常的！只有MICROPOINT的所有目录和文件都是这样。为啥呢？

把MPSVC停了也是如此。。。。。晕哦。

※ ※ ※ 本文纯属【998csc】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-8-30 15:48

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#5

您可以把微点安装目录下的 MP6 复制到桌面后再进行压缩就可以了

[ Last edited by Legend on 2007-8-30 at 15:54 ]

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2007-8-30 15:52

998csc
中级用户

积分 304
发帖 304
注册 2007-2-2
来自 sz

#6

OK。成功了。已经发送了。

※ ※ ※ 本文纯属【998csc】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-8-30 15:55

998csc
中级用户

积分 304
发帖 304
注册 2007-2-2
来自 sz

#7

这个的确是Microsoft发布的一个小工具，这个工具给出在使用 .NET Framework 时你想看到的错误消息。错误消息询问你是否想发送一个错误报告给微软。（很多用户控告这个小程序是微软的间谍软件。），正常的话应该很多电脑中都有这个文件的，但就不一定都命名为iedw.exe，根据版本的不同，很多电脑上看到的文件名为dw15.exe。
--------------------------------------------------------------------------
但大家是否忽略了一点，DW15.EXE可能是真的也可能是伪装的。二就是DW15即使是真的，但可能会被VIRUS利用。。。。呵呵。。。。

※ ※ ※ 本文纯属【998csc】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-8-30 15:57

998csc
中级用户

积分 304
发帖 304
注册 2007-2-2
来自 sz

#8

另外，忘了说了，我把家里的KIS7和我这儿的KIS6搞反了。呵呵。不过不妨碍大家讨论和MP分析吧？呵呵。

※ ※ ※ 本文纯属【998csc】个人意见，与【微点交流论坛】立场无关※ ※ ※

2007-8-30 16:03

Legend
超级版主

超级版主

积分 77171
发帖 70170
注册 2005-10-29

#9

楼主的邮件我们已经收到，经过我们的反病毒专家分析确认该文件是正常程序，请放心使用。
非常感谢楼主的反馈和支持。如果还有什么问题请随时联系我们。

※文章所有权归【Legend】与【东方微点论坛】共同所有，转载请注明出处！※

微点官方认证新浪微博：欢迎进入微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息

2007-9-12 13:04

论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏

[ 联系我们 - 东方微点 ] 北京东方微点信息技术有限责任公司福建东方微点信息安全有限责任公司闽ICP备05030815号