欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

病毒防范:对感染全盘的病毒(ramnit)的一些探索和技术研究分析

来源:本站整理 作者:佚名 时间:2017-08-20 TAG: 我要投稿

按照正常逻辑讲其实这样的说法我感觉也并不是很准确,而且这是一个很古老的恶意病毒了,现在市面上的杀毒软件都可以轻松判别报警拦截,但还是会有人特别是我等小白中招,在经历过几次洗礼后决定好好研究一下,经验分享给大家希望大家别再中招,因为不爱用杀软,不然也不会屡屡中招所以这次下了个360,貌似现在很多人都爱用的样子就下了,首先说明大牛勿喷,本人还处于成长为脚本小子的阶段,大od还在研究阶段,也不懂逆向反汇编,我只是用我曾经学到的知识以及百度还有360软件的一些信息去试图了解它是如何工作的和如何把我心爱的玩具一次又一次感染了的。好了废话不多说,开始。首先360提示的是VirusOrg.Win32.Ramnit.k它的名字,这个对应的是该事件的始作俑者desktoplayer.exe,如果你打开的是被它感染过后的文件比如xx.exe那么杀软识别对应信息最后一位对应的应该是Ramnit.B,当你看到如这字样,并且desktoplayer.exe存在,那么你可以继续看下去了,首先对desktoplayer进行分析,奇怪的是

但是我明明是管理员administrators组的啊,我猜原因有两个。一个是这个程序已经在本地打开不允许修改,还有一个就是文件夹以及desktoplayer自身的权限,经过后来发现其实两者都有,一是所谓感染性病毒,目前所见到的大部分都是宿主型的依附在某些服务中,当我看到tasklist /svc命令产生了很多无用的svchost.exe即windows服务主进程,ps:这些本来是正常的

但是病毒却借着这些隐藏自己并且开启多余服务,并由于svchost随机自启的特殊性所以看上ta了,它先是利用svchost加载驱动c:\windows\system32\drivers\http.sys进而注入数据感染全盘,我测试的时候每次开机都能听到光驱咔的一声,而且如果360不开启防感染模式或者进pe杀毒,那么系统运行过程中随时都会产生这些数据进而二次以及多次感染,下面来说说权限,最让我费解的是microsoft文件夹的权限没有问题,主要是这个desktoplayer的权限比较另类,我也不知是不是我运行时在administrators组里面,


大家都知道在windows系统下拒绝权限要高于允许的,然而administrators权限不可更改,而users组的权限可更改范围却比较大,这个对于提权来说反而没有必要于是net user aaa /add,注销以aaa身份登录,竟然真的可以直接删除它,连pe都不用进了,然而大360也不重启桌面什么的,直接就特喵的给隔离了,防火墙权限玩的也是够6。也是啊那是explorer的事还轮不到svchost去管,后面会讲到各位看官别急。离线时的360我们还是好朋友滴对不对
ff5e1f27193ce51eec318714ef038bef这个是病毒的md5值我在网上也找了别人发的样品发现md5值一样,而且大小都是55kb,这种类型的体积都比较小55kb-110kb,要不然也不会竟挑一些绿色还有单文件的来感染,好像和语言也有关,有一些用vb写的就比较容易感染,哈哈,我想只要程序调用了这台机子win32api都会受到影响吧一些32位的dll,想都不敢想,我那些辛辛苦苦收集的工具就这样没了啊,特喵的都说用360修复,然而我会说如果像啊D这样本身杀软误报,还有一些直接指名这是黑阔工具中毒后还修复个毛线,直接就给我隔离了,还有一些html文件,前面忘记说了,这种的是感染的html,dll,exe类型的,

这是修复之后的,我会告诉你和原文件没有区别你会信,都是nop填充了好吗?为了不影响那些包括我在内有密集综合征的同学下面的我打码了,原文件:

肯定有区别,而且还很大我修复完成之后比如像eclipse还有vmware本身在启动过程就加载了一些htm*,xml速度肯定会变慢,关键是vmware有个文件夹里有1000多个html文件,特么的还不如重装省事,还有那些dll钩子我不知道是怎么样修复的,不过肯定也好不到哪去,

,然后我发现有些64位的有些调用了32位dll的也受到了洗礼,不知不觉感觉没有好地方了,然而说话的过程中截图工具又感染了。。

还有打开exe会提醒你这个文件被感染了,还有会产生这个特征

啊啊,凶手就是他,那么剩下的dll和html就没有那么幸运了,他会不知不觉让你在一次感受一下全盘的洗礼,浏览器javascript可以禁用,但我还没找到如何禁用vbscript,还有些程序运行的过程中比如访问某一个界面需要调用一下html里面的一些样式以及内容,所以中了这种木马一定要清理干净,要是没有什么重要的资料或者备份好之后进pe格盘重新装系统,这是最保险的,还有由于我之前是用搜狗浏览器出现了一些症状,

[1] [2]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载