关于QQ升级王的病毒分析报告

社区服务
高级搜索
猴岛论坛QQ微信技术关于QQ升级王的病毒分析报告
发帖 回复
倒序阅读 最近浏览的帖子最近浏览的版块
20个回复

[QQ技术]关于QQ升级王的病毒分析报告

楼层直达
操你妈个烂逼

ZxID:18228844

等级: 上将
配偶: 烧仙草o
   ..
举报 只看楼主 使用道具 楼主   发表于: 2012-09-28 0


测评杀软有
金山毒霸最新版本
小红伞最新版本
卡巴2012最新版本
avast7.0最新版本
凝逸反病毒最新版本
瑞星最新版本
费尔最新版本

在试运行期间,
测评的内容是:运行前的右键扫描,和关闭防御后,充分染毒,得快速扫描。
测评时间:试运行阶段缉毒队每日晚7点发放样本进行测评。
测试周期:每周一到周五进行测评活动,周六日具体是否也进行测评活动,还是进行其他刺激的活动,相信很快就会揭晓。


[0604]第五期,测试开始
      缉毒大队今天筛选的是一个老毒,相信大家都早有耳闻,那就是灰鸽子。
      不罗嗦,开始吧
病毒行为判断标准
1,释放的病毒文件
2,病毒创建的启动服务
这两个个关键点要是任意一个快扫没有修复,算失败


火眼日志
https://fireeye.ijinshan.com/analyse.html?md5=394D2D423CE5BFF9FA021DBDB87AD9B1
基本信息
文件名称:QQ升级王.exe
文件哈希:394d2d423ce5bff9fa021dbdb87ad9b1
文件大小:331264字节
创建时间:2012-06-01 19:19:09
文件类型:EXE
PEID信息:File does NOT exist!




危险行为监控
行为描述:远程注入其他进程
附加信息:
IEXPLORE.EXE
行为描述:非法注入系统进程,绑定监听端口,疑似后门
附加信息:
疑似灰鸽子远控后门
行为描述:运行后删除自身,警惕恶意软件!
附加信息:

行为描述:inline Hook 函数入口代码
附加信息:
advapi32.dll!EnumServicesStatusA
advapi32.dll!EnumServicesStatusW
advapi32.dll!RegEnumKeyExA
advapi32.dll!RegEnumKeyExW
kernel32.dll!FindNextFileA
kernel32.dll!FindNextFileW
ntdll.dll!ZwQuerySystemInformation
ntdll.dll!ZwTerminateProcess
行为描述:利用全局消息钩子注入指定文件到其他进程
附加信息:
【注入模块】qqikey.dll
【钩子类型】0x00000003[WH_GETMESSAGE],0x00000004[WH_CALLWNDPROC]
【目标进程】



其他行为监控
行为描述:创建互斥体
附加信息:
"QQ等级王.exe"
行为描述:查找文件
附加信息:
""
"%ProgramFiles%\Internet Explorer\IEXPLORE.EXE"
"%windir%\QQ等级王.DLL"
"%windir%\QQ等级王.exe"
"%windir%\QQ等级王Key.DLL"
"%windir%\uninstal.bat"
行为描述:设置文件属性
附加信息:
"%windir%\qq等级王.dll" >> HIDE >> SYSTEM
"%windir%\qq等级王.exe" >> HIDE >> SYSTEM
"%windir%\qq等级王key.dll" >> HIDE >> SYSTEM
行为描述:创建服务
附加信息:
%windir%\QQ等级王.exe
行为描述:拷贝自身到其他目录
附加信息:
%windir%\QQ等级王.exe
行为描述:启动指定服务
附加信息:
%windir%\QQ等级王.exe
行为描述:提升权限
附加信息:
"SeDebugPrivilege"



文件操作监控[td]
操作
文件MD5
文件大小
文件路径
释放后删除
4d87f4c1fdab4e0db4de8678b4c058cd
88
%windir%\uninstal.bat
释放后删除
394d2d423ce5bff9fa021dbdb87ad9b1
331264
%SampleStore%\QQ升级王.exe
新增
3deb5b6152ef48e3f1af83808ad2b562
698368
%windir%\QQ等级王.DLL
新增
fc2bf37169c033a08c1fd7680193cce2
122
C:\Documents and Settings\LocalSer...
新增
394d2d423ce5bff9fa021dbdb87ad9b1
331264
%windir%\QQ等级王.exe
新增
1403540cc7815f2feea00645d4d18fc8
61440
%windir%\QQ等级王Key.DLL


进程操作监控
创建进程:无
启动参数:%windir%\uninstal.bat
创建进程:无
启动参数:"%ProgramFiles%\intErnEt EXplOreR\IexpLore.exe" ABOUT:BLANK


注册表监控
新增
删除
修改
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WindowsEntServer2008[ImagePath] = [%windir%\QQ等级王.exe]
[DisplayName] = [EntqqComServer]
[Start] = [0x00000002]
[ObjectName] = [LocalSystem]
[ErrorControl] = [0x00000000]
[Description] = [系统内存防益出程序池建议保留!]
[Type] = [0x00000110]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WindowsEntServer2008\Enum[Count] = [0x00000001]
[NextInstance] = [0x00000001]
[0] = [Root\LEGACY_WINDOWSENTSERVER2008\0000]
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\WindowsEntServer2008\Security[Security] = [\x01\x00\x14\x80\x90...]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WindowsEntServer2008[ErrorControl] = [0x00000000]
[ObjectName] = [LocalSystem]
[Start] = [0x00000002]
[ImagePath] = [%windir%\QQ等级王.exe]
[Description] = [系统内存防益出程序池建议保留!]
[DisplayName] = [EntqqComServer]
[Type] = [0x00000110]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WindowsEntServer2008\Enum[NextInstance] = [0x00000001]
[Count] = [0x00000001]
[0] = [Root\LEGACY_WINDOWSENTSERVER2008\0000]
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WindowsEntServer2008\Security[Security] = [\x01\x00\x14\x80\x90...]


网络监控
网络操作【获取主机信息】127.0.0.1
【连接主机】127.0.0.1:8000



md日志

2012-6-1 19:14:07    创建新进程    允许
进程: c:\windows\explorer.exe
目标: c:\documents and settings\administrator\桌面\新建文件夹\qq升级王.exe
命令行: "C:\Documents and Settings\Administrator\桌面\新建文件夹\QQ升级王.exe"
规则: [应用程序]*


2012-6-1 19:14:08    创建文件    允许
进程: c:\documents and settings\administrator\桌面\新建文件夹\qq升级王.exe
目标: C:\WINDOWS\QQ等级王.exe
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.exe


2012-6-1 19:14:16    创建注册表项    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WindowsEntServer2008
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services


2012-6-1 19:14:16    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WindowsEntServer2008\Start
值: 0x00000002(2)
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; Start


2012-6-1 19:14:16    修改注册表值    允许
进程: c:\windows\system32\services.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WindowsEntServer2008\ImagePath
值: C:\WINDOWS\QQ等级王.exe
规则: [注册表组]自动运行程序所在位置 -> [注册表]HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\*; ImagePath


2012-6-1 19:14:17    创建新进程    允许
进程: c:\windows\system32\services.exe
目标: c:\windows\qq等级王.exe
命令行: C:\WINDOWS\QQ等级王.exe
规则: [应用程序]*


2012-6-1 19:14:17    创建文件    允许
进程: c:\windows\qq等级王.exe
目标: C:\WINDOWS\QQ等级王.DLL
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll


2012-6-1 19:14:22    创建新进程    允许
进程: c:\windows\qq等级王.exe
目标: c:\program files\internet explorer\iexplore.exe
命令行: "C:\Program Files\Internet Explorer\IEXPLORE.EXE" about:blank
规则: [应用程序]*


2012-6-1 19:14:23    创建文件    允许
进程: c:\documents and settings\administrator\桌面\新建文件夹\qq升级王.exe
目标: C:\WINDOWS\uninstal.bat
规则: [文件组]所有执行文件 -> [文件]*; *.bat


2012-6-1 19:14:24    创建新进程    允许
进程: c:\documents and settings\administrator\桌面\新建文件夹\qq升级王.exe
目标: c:\windows\system32\cmd.exe
命令行: cmd /c C:\WINDOWS\uninstal.bat
规则: [应用程序]*


2012-6-1 19:14:26    创建新进程    允许
进程: c:\program files\internet explorer\iexplore.exe
目标: c:\windows\system32\verclsid.exe
命令行: /S /C {FF393560-C2A7-11CF-BFF4-444553540000} /I {062E1261-A60E-11D0-82C2-00C04FD5AE38} /X 0x401
规则: [应用程序]*


2012-6-1 19:14:27    修改其他进程的内存    允许
进程: c:\windows\qq等级王.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]*


2012-6-1 19:14:28    在其他进程中创建线程    允许
进程: c:\windows\qq等级王.exe
目标: c:\program files\internet explorer\iexplore.exe
规则: [应用程序]*


2012-6-1 19:14:28    创建文件    允许
进程: c:\program files\internet explorer\iexplore.exe
目标: C:\WINDOWS\QQ等级王Key.DLL
规则: [文件组]系统执行文件 -> [文件]c:\windows\*; *.dll


2012-6-1 19:14:32    安装全局消息钩子    允许
进程: c:\program files\internet explorer\iexplore.exe
目标: c:\windows\qq等级王key.dll
钩子类型: WH_GETMESSAGE
规则: [应用程序]*

金山毒霸
1.右键扫描成功查出

2.染毒后快扫



小红伞


avast7.0
相关截图

右键查杀

运行样本


查杀

结束进程查杀

重启后恢复正常--查杀成功


360



费尔v8
1、右键查杀无压力

2、关闭实时监控,双击样本,动态防御弹出

3、染毒后扫描。期间注册表防御弹出一个异常提示修复,选择修复。



                                                

        

本文告诉大家的就一个道理    QQ升级王有毒,用的时候要谨慎,小心不光自己的QQ密码丢失,还有其他网银等等重要帐号密码的丢失。 升级虽重要,但安全还是第一位的。
                                                          转自金山论坛软件测试某一期
                                                                                                                            
                      




[ 此帖被操你妈个烂逼在2012-09-28 21:35重新编辑 ]
本帖de评分: 3 条评分 DB +22
DB+20 2012-09-29

优秀文章

DB+1 2012-09-29

大家小心哦,很多那些刚注册的新兵蛋蛋出来说没毒哦,自已判断吧

DB+1 2012-09-28

虽然看不懂、但是好像很毒的样子、还好我没用过、

操你妈个烂逼

ZxID:18228844

等级: 上将
配偶: 烧仙草o
   ..
举报 只看该作者 沙发   发表于: 2012-09-28 0


出来混总是要还了  软件作者不会这么好心来给你做免费软件
也见到用升级王被盗的帖子

所以要谨慎   安全还是第一位  不要为了加速 而丢了安全  中了木马
つ小青年

ZxID:17175037

等级: 中校
QQ7766540

举报 只看该作者 板凳   发表于: 2012-09-28 0
支持
季末〃

ZxID:17988192

等级: 中尉

举报 只看该作者 地板   发表于: 2012-09-28 0
支持
屌丝、逆袭

ZxID:18251980

等级: 少将
举报 只看该作者 4楼  发表于: 2012-09-28 0
虽然看不懂、但是好像很毒的样子、还好我没用过、
 Solitarily°

ZxID:17826425


举报 只看该作者 5楼  发表于: 2012-09-28 0
   不用了
苏炫

ZxID:19176433

等级: 禁止发言

举报 只看该作者 6楼  发表于: 2012-09-28 0
支持
风吹奶罩毛飞扬

ZxID:18262173

等级: 大将

举报 只看该作者 7楼  发表于: 2012-09-28 0
必须支持
三国情

ZxID:18103198

等级: 准尉
小羽qq228455117
举报 只看该作者 8楼  发表于: 2012-09-28 0
支持,顶!

内容来自[手机版]
兜兜里有棒棒糖

ZxID:19265653

等级: 上等兵
举报 只看该作者 9楼  发表于: 2012-09-28 0
尼玛的 这么伤不起啊。是好软件我就没发现  没有毒的。
腾飞的猴仔

ZxID:17754655

等级: 大元帅
                            ..

举报 只看该作者 10楼  发表于: 2012-09-28 0
支持,谢谢分享
青春不离伤丶

ZxID:18740543

等级: 大校
原谅我这一生放荡不羁爱自由,

举报 只看该作者 11楼  发表于: 2012-09-28 0
    看不懂啊
985616754

ZxID:20665729

等级: 列兵
举报 只看该作者 12楼  发表于: 2012-09-28 0
哪有毒啊 我用到现在从来没有毒,

楼主留言:

你流弊  膜拜下   笑而不语

贪恋_伱嘚唇ˇ

ZxID:17015683

等级: 上将
哆哆

举报 只看该作者 13楼  发表于: 2012-09-28 0
恩恩 谢谢分享
z13770939979

ZxID:19318469

等级: 中校
举报 只看该作者 14楼  发表于: 2012-09-28 0
太复杂了 也看不懂
王子微

ZxID:10230464

等级: 上将
贱人就是矫情

举报 只看该作者 15楼  发表于: 2012-09-28 0
不错不错大家小心点比较好
985616754

ZxID:20665729

等级: 列兵
举报 只看该作者 16楼  发表于: 2012-09-29 0
拜托   用QQ升级王不是QQ等级王 你下载那个当然有病毒了,
貴 賓

ZxID:5524795

等级: 中将

举报 只看该作者 17楼  发表于: 2012-09-29 0
这种东西用脚指头想想都知道十个有九点九个有问题

谁傻谁去用
瑾城

ZxID:19584911

等级: 上将
1

举报 只看该作者 18楼  发表于: 2012-09-29 0
多谢楼主提醒
1
    小全

ZxID:15126425

等级: 元老
                                    

举报 只看该作者 19楼  发表于: 2012-09-29 0
优秀文章
« 返回列表
发帖 回复