File size: 57108 bytes
MD5: 9207fdee2f25a834d4e7151475fc7f45
SHA1: 37e51a5632fd615432840fd480abd9ba175a0505
病毒名称:Trojan-Downloader.Win32.QQHelper.vn    <Kaspersky命名>
本贴首发:http://lxp1984.5d6d.com


运行后病毒样本,自动复制副本到%SYSTEMroot%及%WINDIR%目录下
%SYSTEMroot%\nttstat.exe
%WINDIR%\nttstat.exe
%WINDIR%\d6.exe
%WINDIR%\ft001.exe
%WINDIR%\KB9269O4.log
X:\Documents and Settings\你的用户名\Application Data\Cuckoo\Host.dat
又是一个利用IFEO劫持的病毒.
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options   
<Explorer.exe><%SYSTEMroot%\nttstat.exe>
如图一:



%WINDIR%\d6.exe释放病毒如下:
%Program Files%\Common Files\CPUSH\Uninst.exe
%Program Files%\Common Files\CPUSH\cpush.dll
X:\Documents and Settings\你的用户名\Local Settings\Temp\nsa1A.tmp

%WINDIR%\ft001.exe释放病毒如下:
%SYSTEMroot%\drivers\gpkcsw.sys
%SYSTEMroot%\gpkcsw.dll
%SYSTEMroot%\hydlvr.dll
X:\Documents and Settings\你的用户名\Local Settings\Temp\tmp1B.CAB
X:\Documents and Settings\你的用户名\Local Settings\Temp\tmp1B.tmp
X:\Documents and Settings\你的用户名\Local Settings\Temp\tmp1c.tmp
X:\Documents and Settings\你的用户名\Local Settings\Temp\tmp1d.tmp



附sreng日志:
驱动程序
[gpkcsw / gpkcsw][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\gpkcsw.sys><Microsoft Corporation>
==================================
浏览器加载项
[CAdLogic Object]
  {11F09AFD-75AD-4E51-AB43-E09E9351CE16} <C:\Program Files\Common Files\CPUSH\cpush0.dll, >
==================================
正在运行的进程
[PID: 432][C:\windows\Explorer.EXE]
    [C:\windows\KB9269O4.log]  [N/A, ]
[PID: 432][C:\windows\nttstat.exe]  [N/A, ]
[PID: 432][C:\windows\system32\nttstat.exe]
[PID: 1076][C:\windows\system32\RUNDLL32.exe]
    [C:\windows\system32\hydlvr.dll]  




解决方法:
1.开始---运行---regedit---依次展开:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Image File Execution Options   
删除:
<Explorer.exe>

2.运行ICESWORD---设置---禁止进线程创建---中止病毒进程
%WINDIR%\d6.exe

3.使用ICESWORD---设置---禁止进线程创建---强制卸载被插入进程Explorer.EXE<如图二>及RUNDLL32.exe
C:\windows\KB9269O4.log
C:\windows\nttstat.exe
C:\windows\system32\hydlvr.dll



4.运行SRENG---启动项目---服务---驱动程序---删除服务
[gpkcsw / gpkcsw][Stopped/Boot Start]
  <\SystemRoot\system32\drivers\gpkcsw.sys><Microsoft Corporation>

5.关闭所有浏览窗口以及一些不必要的程序
运行SREng2,使用：系统修复－－浏览器加载项－－选中以下的项删除
C:\Program Files\Common Files\CPUSH\cpush0.dll

6.使用ICESWORD---文件---删除以下病毒文件
%SYSTEMroot%\nttstat.exe
%WINDIR%\nttstat.exe
%WINDIR%\d6.exe
%WINDIR%\ft001.exe
%WINDIR%\KB9269O4.log
%SYSTEMroot%\drivers\gpkcsw.sys
%Program Files%\Common Files\CPUSH\删除文件夹
%SYSTEMroot%\gpkcsw.dll
%SYSTEMroot%\hydlvr.dll
X:\Documents and Settings\你的用户名\Local Settings\Temp\清空文件夹
X:\Documents and Settings\你的用户名\Application Data\Cuckoo\Host.dat

如有错误,请指出.

秋日里的蓝天 ,请教一下，如何分析样本
无须分析代码，只要写出你这样的分析报告即可

引用:

原帖由 wulm 于 2007-5-6 23:55 发表
秋日里的蓝天 ,请教一下，如何分析样本
无须分析代码，只要写出你这样的分析报告即可

这个病毒测试时,SSM都有提示,至于IFEO,就可以使用到AUTORUNS这个工具,然后再使用SRENG扫描日志,一个分析报告就写出来,如果监测到注册表的修改项,只能用到TINY,

比较麻烦,注册表有专门的对比工具,上次shurenzhi推荐的,还有文件实时监控的小软件.至于每个病毒文件释放的东西可能就不太能弄清楚了.SSM果然厉害.

难道蓝天你又用SSM,又用TINY?

呵呵。。。谢了，俺就想印证一下，到底和俺想的是否相同

上次装了个ssm不知道咋用就卸载了
嘎嘎

引用:

原帖由 yy2006 于 2007-5-7 01:32 发表
难道蓝天你又用SSM,又用TINY?

有时候两个都用,不过以前有一个工具是监控注册表的,又可以监控写入系统的文件,不过搞忘了叫什么名.

引用:

原帖由 wulm 于 2007-5-7 09:13 发表
呵呵。。。谢了，俺就想印证一下，到底和俺想的是否相同

autorunS监控启动项+驱动+服务,不错的工具

我准备用微点+AUTORUNS+FLIEMON+冰刃,测试病毒