转
http://bbs.hypost.cn/read.php?tid=237214&page=e&#a 作者
gj8438
在网上无意发现了一个斑点狗的病毒样本,正愁找不到样本,这回好了,感觉比较有意思,也就顺手分析了下。
前些日子出了个熊猫,这回又有了小狗,不知道下回会不会有来个鸡鸭鹅啥的。
先附带上病毒分析日志,似乎大部分都过了。只有少部分能拦截住。
a-squared 3.0.0.126 2008.03.27 2008-03-27 - 4.288
AntiVir 7.6.0.78 7.0.3.92 2008-03-28 - 9.120
Arcavir 1.0.4 200803280951 2008-03-28 Heur.RoundKick 4.577
AVAST 1.0.8 080328-0 2008-03-28 Win32:AutoRun-JW 11.072
AVG 7.5.51.442 269.21.8/1345 2008-03-26 - 7.674
BitDefender 7.60825.1044944 7.18233 2008-03-29 Generic.Malware.SPPkTk.0E29D104 12.976
CA (VET) 9.0.0.143 31.3.5653 2008-03-29 - 8.630
ClamAV 0.92 6453 2008-03-29 - 0.108
Comodo 2.11 2.0.0.478 2008-03-28 - 2.679
CP Secure 1.1.0.715 2008.03.29 2008-03-29 - 20.941
Dr.WEB 4.44.0.9170 2008.03.28 2008-03-28 - 11.473
ewido 4.0.0.2 2008.03.28 2008-03-28 - 3.036
F-PROT 4.4.1.52 20080328 2008-03-28 - 3.583
F-SECURE 5.51.6100 2008.03.28.07 2008-03-28 - 14.201
IKARUS T3.1.01.20 2008.03.24.70498 2008-03-24 - 4.762
Microsoft 1.3301 2008.03.29 2008-03-29 - 7.603
MKS_VIR 2.01 2008.03.28 2008-03-28 - 6.474
NORMAN 5.91.10 5.90 2008-03-25 - 14.718
nProtect 2008-03-28.00 1269393 2008-03-28 Trojan/W32.Agent.458752.D 5.058
Prevx V2 20080329 2008-03-29 - 3.574
QuickHeal 9.00 2008.03.28 2008-03-28 Trojan.Agent.45 2.287
SOPHOS 2.71.3 4.27 2008-03-25 Mal/SillyFDC-A 5.544
The Hacker 6.2.92 v00257 2008-03-27 - 1.060
VBA32 3.12.6.3 20080328.1527 2008-03-28 - 2.449
ViRobot 20080328 2008.03.28 2008-03-28 - 0.493
VirusBuster 4.3.19:9 9.123.24/11.0 2008-03-28 - 3.017
卡巴斯基 5.5.10 2008.03.28 2008-03-28 - 19.763
安博士V3 2008.03.29.00 2008.03.29 2008-03-29 - 1.832
江民杀毒 10.00.650 2008.03.27 2008-03-27 Worm/AutoRun.ln 2.105
熊猫卫士 9.04.03.0001 2008.03.28 2008-03-28 - 3.048
瑞星 20.0 20.37.41.00 2008-03-28 - 1.642
赛门铁克 1.3.0.24 20080328.003 2008-03-28 - 0.266
趋势 8.500-1001 5.192.08 2008-03-28 - 0.067
迈克菲 5.2.00 5262 2008-03-28 - 6.399
金山毒霸 2007.6.20.249 2008.3.28 2008-03-28 Win32.Troj.Autorun.at.458752 1.085
飞塔 2.81-3.11 8.897 2008-03-28 - 2.736
Vb写的,没有加壳。
我用虚拟机测试,虚拟机装了微点,预升级,一运行,立即拦截,看样子微点还是比较强悍的。拦截是不能拦截的,为了分析,还是要放行的,心一横,直接把微点卸载了。
先看看这个病毒的样子,很可爱吧, 一个小狗。
为了分析,我用了一个注册表监控分析软件来帮助我分析:regshot,也就是注册表快照。
用法比较简单,运行病毒前先扫描下快照,运行病毒后再扫描个快照,然后一比较,ok结果出来了。
抓个图,一目了然。
简单一分析,比较可爱,映像劫持,把好多杀软都映射到了他自己的病毒体上。
新增加了2个文件,前两个是启动预读的文件夹里的快捷方式,可以忽略。最下面那个似乎不是病毒。
找到病毒文件
那个txt估计没有啥问题,打开一看,有点汗,说的好可怜啊。“我想上大学,我认为江民杀毒是最好的安全软件,别担心,我不会破坏你的数据”看样子还是挺仁慈的。
打开其他的盘一看,usb传播的感觉,自动运行。。。
其他的exe文件也变成了可爱的小狗头。并且双击没反应。汗哦。。。。
下面想办法干掉这个可爱的小狗狗。
首先想看看任务管理器里有没有病毒运行的痕迹,打开任务管理器,晕,一闪,关闭了。
没办法,用别的,把wsyscheck请出来。忘了一件事,双击无法运行。。改扩展名。。改成cmd,呵呵,可以运行了。哇,一窝小狗。。。病毒主程序也在运行着,啥也不说,干掉。任务管理器也可以正常运行了。
删到病毒体。。。
修复映像劫持,和错误的exe文件关联。。
删除后,病毒清除完毕
Exe文件已经 能够运行。
重新启动电脑,检测效果如何。
没想到,还是一窝小狗,看样子,exe的图标被修改了。
把这个键值清空。
重启,Ok。。。搞定了。
最后在启动项里把soleboy这个启动项删除 即可。
似乎这个毒不是多么疯狂,用的手段也比较低级,防护也做的不好。似乎just a joke 。。
没好多大的破坏力,如果不介意,权当养狗狗玩了。。。
