[危险]【又有新重大情况】病毒版盛名时刻（6.21版)的完整分析报告

Q神发表于 2009-6-16 22:17:07

结论是：被更改过，捆绑木马！

针对的是绿色版

刚开始发现大小不对，我就预计它捆绑了什么东西
于是拿出来放到环境里分析

1.360tray.exe
这个非常明显是冒牌的，最基本一点，这个文件没有360的数字签名。
2.在桌面上生成两个隐藏文件smsk.exe和smskb20090621.exe，看起来很像以前盛名在临时文件夹释放自身的几个文件，实质不然，都有恶意操作。

然后，分析那个最显眼的360tray.exe吧
这个破玩意，连个基本的保护都没有。

首先，给他放自己做的沙箱环境里运行，结果可到好，触发了30多个危险的win32API，从触发的项目来看，是木马无疑，还有跟网络沟通更新的迹象。
现在结论有了，捆绑了多种木马，还有DOWNLOADER的嫌疑。

初步分析出来了，深度分析稍后继续

--------------------------------------------------
结论出来了。

由于本身捆绑了一个DOWNLOADER，造成了大量的不确定性。它可以随时从网上下载新的病毒并且执行。

对于捆绑的病毒，十分好解决。
1.终止相关进程。360tray.exe,smsk相关的进程
2.删除相关文件。c:\windows\system32\360tray.exe
3.盛名时刻表目录下会有两个隐藏文件smskb2009062.exe和smkcb.exe
其中smskb2009062.exe基本确定是正常的时刻表软件，smkcb.exe是一个混合木马，类似360tray.exe

通过这么多的分析，隐约发现一点不对头。那两个程序，360tray.exe和smkcb.exe是完全不同的两个类似病毒混合体的玩意，没啥实质危害，甚至可以说就是纯粹的各种病毒特征码的集合。因为病毒类型太五花八门了。

因此，感觉这个捆绑病毒事件不想是为了种木马，而像是竞争对手之类的恶意抹黑。

------------------------------------------
潜伏的downloader下载的东西也让我抓到了，调用的父程序我没想到，竟然是正常的时刻表软件，而不是那几个木马调用的
DOWNLOADER去下载的，就是这个地址
http://www.smskb.com/down/rjxz.exe
29k的执行文件，相当小巧的一个木马了～
现在看来，那个分离出来的smskb2009062.exe也不能用，也包含这个downloader

压缩包版本、安装版本现在看，都有可能也包含病毒，包括以前的旧版本～

[ 本帖最后由 Q神于 2009-6-17 10:54 编辑 ]

Q神发表于 2009-6-16 22:18:54

顺便发上一个，在线杀毒的报告，作为参考

扫描结果 :39%的杀软(15/38)报告发现病毒时间 :2009/06/16 22:13:13 (CST)a-squared4.5.0.1200906142132042009-06-14Virus.Win32.Agent.COH!IK
3.124AntiVir8.2.0.1877.1.4.982009-06-16TR/Dropper.Gen
0.287Arcavir20092009061609322009-06-16-
0.056Authentium5.1.12009061516032009-06-15W32/Nuj.A.gen!Eldorado (Possible)
1.124AVAST!4.7.4090615-02009-06-15-
0.044AVG8.5.286270.12.73/21802009-06-16SHeur.CMDD
3.593BitDefender7.81008.33490297.260142009-06-16DeepScan:Generic.Malware.SFM!b.95B52343
3.603CA (VET)9.0.0.14331.6.6560 2009-06-16Win32/SillyAutorun.ALB worm.
9.680ClamAV0.95.194692009-06-16Trojan.Agent-64034
0.142Comodo3.913412009-06-16TrojWare.Win32.TrojanDropper.VB.~AAAG
0.781CP Secure1.1.0.7152009.06.162009-06-16Troj.Spy.W32.Agent.pn
10.531Dr.Web4.44.0.91702009.06.162009-06-16-
4.732F-Prot4.4.4.56200906152009-06-15W32/Nuj.A.gen!Eldorado (generic, not disinfectable)
1.150F-Secure5.51.61002009.06.16.042009-06-16-
0.104GData19.5856/19.365200906162009-06-16-
4.331IkarusT3.1.01.592009.06.16.728752009-06-16Virus.Win32.Agent.COH
3.160Microsoft1.47012009.06.162009-06-16-
4.693mks_vir2.012009.06.152009-06-15-
3.367Norman6.01.096.01.002009-06-16-
4.009nProtect20090616.0342614302009-06-16-
7.314Quick Heal10.002009.06.162009-06-16Trojan.Agent.gen
1.234Sophos2.87.14.422009-06-16-
2.520Sunbelt519151912009-06-15-
1.101The Hacker6.3.4.3v003452009-06-15-
0.766VBA323.12.10.720090615.14052009-06-15Trojan.Win32.Agent.bfnb
2.417ViRobot200906162009.06.162009-06-16-
0.427VirusBuster4.5.11.1010.107.14/16297662009-06-15-
2.313卡巴斯基5.5.102009.06.162009-06-16-
0.081安博士V32009.06.16.032009.06.162009-06-16Win-Trojan/Xema.variant
0.861安天2.0.1820090616.25495232009-06-16-
0.170江民杀毒11.0.7062009.06.162009-06-16Worm/AutoRun.wv
2.530熊猫卫士9.05.012009.06.152009-06-15-
1.924瑞星20.021.34.13.002009-06-16-
0.833赛门铁克1.3.0.2420090615.0032009-06-15-
0.058趋势科技8.700-10046.196.032009-06-16-
0.048迈克菲5.3.0056472009-06-15-
3.116金山毒霸2009.2.5.152009.6.16.182009-06-16-
0.527飞塔2.81-3.11710.5022009-06-16-
0.197

xuchaofan 发表于 2009-6-16 22:19:09

那安装了的怎么办啊？

阳光发表于 2009-6-16 22:20:35

谢谢Q神了，另外最好能告知下中毒特征，让我悬起的心放下……我现在进程无异常，各个盘下根目录也无异常，虽然诺顿提示DOWNLOADER，但是查360tray.exe却没有报毒……所以迷茫中。

Q神发表于 2009-6-16 22:21:13

安装了的朋友，我多分析分析，给出临时的解决方案

最基本的一部，调出任务管理器，将带有360TRAY、smsk类似的进程统统结束掉，等待进一步方案

[ 本帖最后由 Q神于 2009-6-16 22:22 编辑 ]

CerleornD 发表于 2009-6-16 22:21:22

我下载绿色版的时候AVAST就提示有病毒

阳光发表于 2009-6-16 22:22:26

Q神可以看下这个帖子。
http://bbs.hasea.com/thread-354943-1-1.html
诺顿的确是报了downloader，但是只是运行的时候……单杀杀不出来。

Q神发表于 2009-6-16 22:32:45

越分析越头疼
这个破病毒写的可够弱智的了……
释放出那么多东西，连个基本的进程守护都没做，而且连网络的时候也净干些无聊的事情

阳光发表于 2009-6-16 22:33:44

回复 #8 Q神的帖子

这么弱智还那么多杀软查不出来呢……而且像我这种不小心的人想都没想就运行了……

Q神发表于 2009-6-16 22:36:28

原帖由阳光于 2009-6-16 22:33 发表 http://bbs.hasea.com/images/common/back.gif
这么弱智还那么多杀软查不出来呢……而且像我这种不小心的人想都没想就运行了……
这年头的杀毒软件，最大的功能就是占用系统资源，其次是提醒你机器已经中病毒了，最后一个功能是骚扰得你不厌其烦

btta 发表于 2009-6-16 22:39:05

发现了360的那个进程，结束了，然后注册表删除了相应的启动项。
但是没发现有smsk这样的进程啊。

阳光发表于 2009-6-16 22:40:14

回复 #11 btta 的帖子

我的机器里是有，每运行一次出一个。你仔细看看~VISTA的话选查看所有用户进程看下。

btta 发表于 2009-6-16 22:44:21

我是xp-sp3，进程上个图吧。

阳光发表于 2009-6-16 22:45:24

回复 #13 btta 的帖子

左下角勾上如果没有，那就真没有。

btta 发表于 2009-6-16 22:50:32

回复 #14 阳光的帖子

这个这真没有。:lol

bill_gao 发表于 2009-6-16 22:52:14

这回的文件是2.14M比原来的800K大了许多。
直接使用其释放出来的smskb2009062.exe就没问题了，然后删除smskb.exe和360tray.exe

bill_gao 发表于 2009-6-16 22:54:26

楼主要是能做一个脚本，运行一下直接能把里面的广告去掉就好了。

阳光发表于 2009-6-16 22:55:58

回复 #16 bill_gao 的帖子

第一次运行的时候即会运行360tray.exe，慎用。

bill_gao 发表于 2009-6-16 22:57:41

原帖由阳光于 2009-6-16 22:55 发表 http://bbs.hasea.com/images/common/back.gif
第一次运行的时候即会运行360tray.exe，慎用。
不要紧，直接停止这个进程就行了，然后把它删掉，以后就用它释放出来的那个802K的。

Q神发表于 2009-6-16 23:08:56

原帖由 bill_gao 于 2009-6-16 22:54 发表 http://bbs.hasea.com/images/common/back.gif
楼主要是能做一个脚本，运行一下直接能把里面的广告去掉就好了。
我早就在用了你等会啊～
告诉你怎么做

页: [1] 2

海子铁路网's Archiver