机器狗新病毒分析
机器狗新病毒分析
我这里有二个样本’ dd.exe dod.exe 通过McAfee的日志我们可以看到 =============================================================== 2008-1-24 11:56:09 已由访问保护规则禁止 SMILE\Administrator C:\Documents and Settings\Administrator\桌面\dod.exe C:\Documents and Settings\Administrator\Local Settings\Temp\tmpA9.tmp 防间谍程序最大保护:禁止所有程序从Temp 文件夹运行文件 已阻止的操作: 执行 ============================================================== 
与此同时我打开了netstat看端口的连接情况 发现有一个远程的连接60.190.203.144:8080 通过这条可以知道 是连接60.190.203.144这IP地址的8080端口的数据(可能是下载) 为什么会有McAfee 前面检测的这条C:\Documents and Settings\Administrator\Local Settings\Temp\tmpA9.tmp 防间谍程序最大保护:禁止所有程序 得出来简单的判断: tmpA9.tmp应该是 用于放下载文件的临时文件 ============================================================ 2008-1-24 11:56:09 已由访问保护规则禁止 SMILE\Administrator C:\Documents and Settings\Administrator\桌面\dod.exe C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\index.dat 防病毒最大保护:保护缓存文件免受密码和电子邮件地址窃贼的攻击 已阻止的操作: 读取 ================================================================= 很快的我们的McAfee又提供了一条新的信息. 正如我们所预计的一样。它正是通过(60.190.203.144:8080)在下载 (或者说是在比较病毒的版本) ================================================================ 2008-1-24 11:59:47 已由访问保护规则禁止 SMILE\Administrator C:\WINDOWS\Explorer.EXE \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks\{9609dac0-b4e4-4c18-b37e-335dae4f2612} 通用标准保护:禁止安装 Browser Helper Objects 和 Shell Extensions 已阻止的操作: 创建 ================================================================== 这条应该是在IE加载里面添加扩展执行 看看%ProgramFiles%\Internet Explorer\目录下有没有东东,就可能是添加的了 然后就是一长串的报警提示了 ============================================================= 2008-1-24 11:59:59 已由访问保护规则禁止 SMILE\Administrator C:\WINDOWS\upxdnd.exe C:\WINDOWS\system32\upxdnd.dll 通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件 已阻止的操作: 创建 2008-1-24 11:59:59 已由访问保护规则禁止 SMILE\Administrator C:\WINDOWS\upxdnd.exe C:\WINDOWS\system32\xrnpgy.dll 通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件 已阻止的操作: 创建 2008-1-24 11:59:59 已由访问保护规则禁止 SMILE\Administrator C:\WINDOWS\WinForm.exE C:\WINDOWS\system32\WinForm.dll 通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件 已阻止的操作: 创建 2008-1-24 11:59:59 已由访问保护规则禁止 SMILE\Administrator C:\WINDOWS\WinForm.exE C:\WINDOWS\system32\legkxb.dll 通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件 已阻止的操作: 创建 2008-1-24 12:00:01 已由访问保护规则禁止 SMILE\Administrator C:\WINDOWS\Kvsc3.exE C:\WINDOWS\system32\Kvsc3.dll 通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件 已阻止的操作: 创建 2008-1-24 12:00:01 已由访问保护规则禁止 SMILE\Administrator C:\WINDOWS\Kvsc3.exE C:\WINDOWS\system32\lxsfqq.dll 通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件 已阻止的操作: 创建 2008-1-24 12:00:02 已由访问保护规则禁止 SMILE\Administrator C:\WINDOWS\DbgHlp32.exe C:\WINDOWS\system32\DbgHlp32.dll 通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件 已阻止的操作: 创建 2008-1-24 12:00:02 已由访问保护规则禁止 SMILE\Administrator C:\WINDOWS\DbgHlp32.exe C:\WINDOWS\system32\yzzanc.dll 通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件 已阻止的操作: 创建 好了。我们的McAfee在无声无息中阻止了一次声势浩大的攻击,而你还是在安心的睡觉中呢~ 看了这个的话大家就很好防范了。这病毒只不过如此!!!! 本文出自 51CTO.COM技术博客 |
yueyangflash
博客统计信息
热门文章
最新评论
友情链接