未知病毒实践测试

gouying0907

kv2008未知病毒实践测试

今天才注意到的一个,好象很N,据说一运行就结束微点、卡巴和瑞星的进程，所以就优先试试咯（样本同样来自卡饭，测试完成后上卡饭瞧了瞧，看见有人在跟帖中好象是用专业的HIPS记录了该毒的行为，基本符合。还有个网友用KV的BOOTSCAN杀了，看来KV都认识？，早知道不费这个劲了，就当KV一个都不认识吧，呵呵），先来认识一下，就是这个N人，运行完成任务后会自杀：


果然，一运行，任务栏的红K马上不见了，同时发现无法显示隐藏的系统文件了，但可以显示隐藏的文件夹，用来迷惑新手还是可以的~~~~


无法杀毒，也看不见病毒文件，你也许会想起第三方工具了，但平时喜欢出风头混个脸熟的家伙象冰刃、SRENG现在保证昏迷中。。。。看看进程里kvsrvxp.exe还在不在，只要kvsrvxp.exe在，KV就没死，只要KV没死，呵呵，不就是外壳没了吗？剑还在就行.进入KV的安装文件夹，运行KVMonXP.kxp启动KV任务栏图标，刚恢复即被病毒结束。再试运行kvxp.kxp，出现

这个KV的帮助文档一闪而过，接着出现kvxp.kxp遇到问题需要关闭的提示，也是一闪而过。 意料之中，接着依次找到并运行KvpViewer.exe（进程查看）、kvdetect.exe（未知扫描）、KVSysCheck.exe（系统诊断）、KVIETools.exe（安全助手）。如果你原来没有开启BOOTSCAN，那么还可以找到并运行SetupLd.exe（设置）~~扫描结果如下

注意，LSASS。EXE和SMSS。EXE的用户名不是SYSTEM，是病毒创建的，那个IE的进程也是病毒启动的，而且如果用KV安全助手还可以扫出这个IE进程的命令行，指向http://w.c0mo.com/r.htm      发现这个了，还不断网？这是常识，先断网再杀毒。

未知扫描出来后你也可以暂时不去清除，但一定记得先把扫出来的东西确认是毒的加入样本库（很重要）
http://bbs.jiangmin.com/UploadFile/2007-12/200712221175519.jpg[/img]
病毒删除了所有启动项。。。


还有个比较流行的东西

接下来就好办了，先结束病毒进程，在进程查看里点选“结束进程并加入黑名单”，有趣的事情出现了，病毒和KV出现了创建和阻止的拉锯，拉锯中KV生气的把新创建的病毒进程的危险度从97%提高到了100%，我帮了KV一把，用系统诊断把病毒的隐藏文件删掉了（不帮的话KV最后好象也能赢）。

结束病毒进程后，进入KV的文件夹运行KVMonXP.kxp，熟悉的任务栏红K又回来了，剩下的就是简单劳动了，未知扫描，加入样本库，结束进程，扫描样本库，杀样本，系统诊断，进程、服务、驱动、隐藏文件和注册表扫描、安全助手扫描等等等，最好重复检查一下，特别是未知扫描和隐藏文件扫描，多扫几次，因为有时删掉部分病毒文件后才扫的出另一部分。
最后说明一下，这是个文件感染型的病毒，感染后程序图标会变色，被感染的程序基本都是安全类的小工具，还有压缩工具和一部分需要连网的程序，幸好感染的不是系统文件。KV无法修复这次病毒对隐藏系统文件的选项的修改（好象是修改了访问权限？），需要平时的注册表备份，你备份了吗？
KV的自我保护还是很强的，但希望KV的工程师能分析一下病毒结束KV的手段，在自我保护或主动防御上再进一步。病毒删除了KV的启动项，我这次没用自定义规则，所以不知针对此项自定义是否有效。看卡饭里的报告，有写入"启动"文件夹的动作，但我测试时没有，才想起我系统监控里唯一保留的自定义规则就是禁止写入"启动"文件夹，本意是用来对付某些不自觉的正常软件的，因为病毒用这个是比较弱智的。结果小人没来，小偷到来了。看来这个自定义规则还是有效的，其他的不知如何。。。。另外，KV的服务器模式和严厉模式对付此毒无效，因为一开始就。。。。。。

gouying0907

网络毒气弥漫


TrojanDropper.VB.zm“视频宝宝”变种zm是“视频宝宝”木马家族中的最新成员之一，采用“Microsoft Visual Basic 5.0 / 6.0”编写，并且经过加壳保护处理。“视频宝宝”变种zm运行后，会自我复制到被感染计算机系统的“%SystemRoot%\”目录下，并重新命名为“kq234sto.exe”。在该目录下释放病毒组件“shdwe334.exe”（KV2009检测为“Backdoor/VB.dwd”），同时还会在相同目录中生成一个名为“driver.inf”的安装信息文件以进行系统服务的安装，并通过生成一个配置文件来进行相应的恶意操作。在被感染计算机系统的后台连接骇客指定的URL“http://cha*dd.3322.org:88/ip.txt ... �机自动运行。


Trojan/PSW.Element.aq“毒素”变种aq是“毒素”木马家族中的最新成员之一，采用高级语言编写，是一个由其它恶意程序释放出来的DLL功能组件，通常会被注入到“explorer.exe”等用户级权限的进程中加载运行，以此实现隐藏自我，防止被查杀。“毒素”变种aq运行后，会在被感染计算机系统的“%SystemRoot%\system32\”目录下释放恶意DLL组件“sh03004.dll”和配置文件“sh03004.add”，通过注册表启动项来实现木马开机的自启动。在被感染计算机的后台遍历当前系统中的所有进程，查找“完美国际”、“武林外传”、“诛仙”等网络游戏是否正在运行。如果发现这些游戏的进程，便会通过内存截取等技术盗取网络游戏玩家的游戏账号、游戏密码、所在区服、角色等级等信息，并在后台将窃取到的玩家机密信息发送到骇客指定的远程服务器站点中，致使网络游戏玩家的游戏账号、装备、物品、金钱等丢失，给游戏玩家造成不同程度的损失。另外，“毒素”变种aq还会强行篡改系统hosts文件，屏蔽大量的游戏官方站点，阻止了用户对于这些网站的访问。

针对以上病毒，江民反病毒中心建议广大电脑用户：

    1、请立即升级江民杀毒软件，开启新一代智能分级高速杀毒引擎及各项监控，防止目前盛行的病毒、木马、有害程序或代码等攻击用户计算机。
    2、江民KV网络版的用户请及时升级控制中心，并建议相关管理人员在适当时候进行全网查杀病毒，保证企业信息安全。
    3、江民杀毒软件增强虚拟机脱壳技术，能够对各种主流壳以及疑难的“花指令壳”、“生僻壳”病毒进行脱壳扫描，有效清除“壳病毒”。
    4、开启江民杀毒软件的系统监控功能，该功能可对病毒试图下载恶意程序、强行篡改系统时间、注入进程和调用其它恶意程序等行为进行监控并自动干预、处理，有效地遏制了未知病毒对系统所造成的干扰和破坏，更大程度的提高了计算机对于未知病毒的防范能力。
    5、江民杀毒软件拥有强大的自防御体系，能有效阻止“驱动级病毒”关闭和破坏杀毒软件，确保杀毒软件所有功能的完全发挥，为保障系统和数据安全打下了坚实的基础。
    6、江民防马墙，能够第一时间发现和阻止带有木马病毒的恶意网页，可以自动搜集恶意网址并加入特征库，阻止了网页木马的传播，有效地保障了用户的上网安全。
    7、全面开启BOOTSCAN功能，在系统启动前杀毒，清除具有自我保护和反攻杀毒软件的恶性病毒。
    8、怀疑已中毒的用户可使用江民免费在线查毒进行病毒查证。免费在线查毒地址：http://online.jiangmin.com/chadu.as