史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 多媒體影音轉檔燒錄技術文件
忘記密碼?
註冊帳號 論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2006-06-08, 08:12 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 軟體 - Worm.Viking

Worm.Viking

這幾天一直看到不少求援的帖子,從帖子內容看一直都只認為是個QQ尾巴,通過QQ自動發送如下消息:
看看啊. 我最近的照片~ 才掃瞄到QQ象冊上的 ^_^ !h**p://www.qq.com.search_2.shtml.cgi-client-entry.photo.39pic.com/qq%E5%83%8F%E5%86%8C4/
看LOG時注意到rundl132.exe這個文件,此外,某個殺軟會不斷提示logo_1.exe這個東西。

拿到樣本後才知道不是這麼簡單,各大殺軟都對這個病毒做了應急處理。參考各殺軟廠商的分析結果做如下簡介:
病毒被啟動後,釋放以下文件:
%SystemRoot%\rundl132.exe
%SystemRoot%\logo_1.exe
病毒目錄\vdll.dll

新增以下啟動項:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"load"="C:\WINNT\rundl132.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]
"load"="C:\WINNT\rundl132.exe"

感染所有分區下大小27KB-10MB的可執行文件(但不感染系統資料夾和programe files資料夾下的文件),並在被感染的資料夾中產生_desktop.ini。資料夾裡如果發現這個東西的話,恭喜恭喜,估計十有八九已遭遇不幸了。感染後,可能會造成某些網友說的「EXE文件圖示變花」。

通過不安全的共享網路傳播,網路可用時,枚舉內網所有共享主機,並嘗試用弱口令連接\\IPC$、\admin$等共享目錄,連接成功後進行網路感染。

結束一些國內的反病毒軟件工作行程,如毒霸,瑞星,木馬客星等。

vdll.dll注入Explorer或者Iexplore工作行程,當外網可用時,下載其他木馬程式(比如那個WINLOGON系列的變態木馬)。

小空在這裡提醒大家,對這個病毒防範勝於查殺。部分殺軟對感染該病毒的EXE文件採取的方法是直接刪除,這可不是件好事。因此,小空建議你,及時升級你的殺軟,並打開實時監控;安裝一款防火牆;關閉不必要的網路共享;通過線上更新等給系統打好修正檔;給管理員帳戶加上足夠強壯的密碼;對於來歷不名的文件不要隨意執行。

昨天把拿到的樣本看了下,抓圖如下:rundl132.exe為病毒文件,thunder是原迅雷的主程式VThunder為感染後文件。winhex打開,抓圖如下,可以看出,頭寄生。offset刪除至00069E6後,VThunder即可還原為thunder了。

http://img163.imageshack.us/img163/8823/wormviking14mu.jpg



http://img163.imageshack.us/img163/38/wormviking21xi.jpg


http://img163.imageshack.us/img163/6549/wormviking35in.jpg


http://img163.imageshack.us/img163/2715/wormviking46av.jpg

一點補充

給圖片加上說明更好。
金山
http://vi.db.kingsoft.com/index.shtm...tion=viewgraph
Symantec
http://www.symantec.com/avcenter/ven....looked.h.html
http://securityresponse.symantec.com....looked.i.html

此帖於 2006-06-08 08:46 PM 被 psac 編輯.
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1625 篇, 收花: 3194 次
舊 2006-06-09, 08:35 AM   #2 (permalink)
註冊會員
榮譽勳章
UID - 4587
在線等級: 級別:16 | 在線時長:326小時 | 升級還需:31小時級別:16 | 在線時長:326小時 | 升級還需:31小時級別:16 | 在線時長:326小時 | 升級還需:31小時級別:16 | 在線時長:326小時 | 升級還需:31小時級別:16 | 在線時長:326小時 | 升級還需:31小時級別:16 | 在線時長:326小時 | 升級還需:31小時
註冊日期: 2002-12-07
VIP期限: 2011-05
文章: 618
精華: 0
現金: -120 金幣
資產: 3516 金幣
預設

謝謝大大無私的分享!!
kyoshih 目前離線  
送花文章: 206, 收花文章: 35 篇, 收花: 74 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 08:38 PM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2019, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1