样本:http://bbs.janmeng.com/thread-782958-1-1.html
此病毒从日志上来看,是修改了MMC.EXE文件,如果贸然用正常的系统文件替换,就会造成系统崩溃。
由于sigverif工具无法正确验证数字签名(主要是那个mmc.exe,而user32.dll可以验证,gpedit.msc不肯验证),procmon在监控没完成的情况下退出,所以没能观察到系统文件的文化。后来看了baohe和花谢花飞飞满天的分析,受到启发。事先分别用sreng2检查了系统文件夹的文件签名,用a8a9备份了windows下的可执行文件的MD5,system32下的dll和exe文件的MD5,drivers目录下的sys文件的MD5。
运行病毒后没作任何操作便重启,以尽量接近中毒情况。
重启后用sreng2扫了个报告(见附件),日志处理方案见附件(经cchao21提醒,漏掉一个,更新了。谢谢21)。
用a8a9检查先前文件的MD5变化,结果发现winhlp32.exe和user32.dll两个文件MD5值有变化,MMC因正在运行,无法检查。其它文件未见变化(系统中不同位置的两个beep.sys虽然被病毒修改,但MD5没变,只是修改时间变了,这个问题在BAOHE的帖子后我作了说明。而gpedit.msc文件未改动--MD5值没变)。
于是先替换winhlp32.exe和user32.dll文件,然后用xdelbox处理日志中出现的病毒文件。重启系统未见异常。至于mmc.exe和其它非活动状态病毒文件我就不用处理了(我是在虚拟机中运行病毒的)。
关键文件:user32.dll!!!!!!!!(和花儿的观察有点不同,userinit.exe未被感染,可能环境有所不同)。
疑问:
1、有点奇怪:sreng2怎么没能反映user32.dll 这个文件的异常?
2、c:\windows\system32\drivers\msiffei.sys这个文件无论在windows下用冰刃看,还是用xd删除时都未发现?
3、beep.sys的“修改时间”变了,但MD5没变,这是为何?(小聪已解答)
现提供大部病毒。见http://bbs.janmeng.com/viewthrea ... &extra=page%3D1
内存中的beep.sys病毒见http://bbs.janmeng.com/thread-784576-1-1.html
您的位置: