2008-10-16

一個假Everest破解程式

這是一個由PCDVD網友所提供的一個疑似病毒樣本
這個不但是一個破解程式,還是一個居心不良的惡意軟體!

將壓縮檔解開我們得到了:
keygen.exe number.exe readme.bat serial.exe crack.exe



首先是crack.exe執行後會在system32下生成dll檔,在最後會重新hook





提權行為


修改winlogon記憶體


hook qomgddcr.dll


最後調用cmd.exe刪除cravk.exe



再來是serial.exe跟number.exe
執行後首先存取DNS/RPC服務


出現連網行為,CFP3這裡報了啟發


操作explorer.exe記憶體,很明顯這絕對不是一個好東西



最後的keygen.exe我省略了幾章節圖,放出重要的部分
主要就是修改了幾個重要的註冊表












還修改了iexplorer.exe的process memory



根據以上行為,我推測這些是屬於木馬還有Downloader的集合
透過Sreng或許可以完全清除

6 則留言:

  1. 注意到以前沒注意的一點:
    正常程式要開啟檔案,跳出資料夾視窗時,似乎是呼叫「explorer.exe檔案」而不是「操作explorer.exe記憶體」?

    實測後發現其實也是「access explorer.exe in memory」。還是要從前因後果來看行為可不可疑,所以要從單一行為有無判斷程式有沒有問題還真是沒辦法。

    回覆刪除
  2. @S. Peter

    開啟任何程式一定是透過explorer.exe調用對象物件

    但是explorer.exe絕不為"被"操作對象
    操作對象跟被操作對象是有差別的
    修改記憶體可以做很多事情,不僅限於破壞
    但是今天這個樣本接連修改了explorer.exe及iexplorer.exe
    這是"很明顯"的代碼注入!
    絕對不是正常程式會有的行為

    回覆刪除
  3. 「操作對象跟被操作對象是有差別的」

    但是CFP3的提示說明似乎看不出差異?(另外,像threatfire的監控會被判讀成「某程式 access TFservice.exe」)當然自己用的時候,因為有考量程式性質和前後執行動作,所以要區分也是辦得到。

    回覆刪除
  4. @S. Peter

    你的意思是CFP3的提示看不出差別嗎?
    CFP3不管是圖示還是字面,應該都可以分清楚哪個是操作對象哪個是被操作對象

    還是你的問題是被操作對象的修改是好或者不好?怎樣分辨嗎?

    回覆刪除
  5. 因為我對照「開啟程式,透過explorer.exe調用對象物件」的畫面,跟這篇測試中serial.exe「操作explorer.exe記憶體」的提示內容是完全相同的。這樣好像看起來explorer.exe都是被操作對象?

    TH3比較特別,TFservice.exe都被判斷成各程式存取對象,而不是TFservice.exe去干涉對方(可能這就是TH3不會跟HIPS衝突當機的原因?)。

    回覆刪除
  6. @S. Peter

    應該怎麼說呢?
    正常情況explorer.exe不應該也不會去存取其它對象進程的記憶體

    如果只是開啟某個為之可執行程式
    那提示會是XXX.exe is trying to execute xxx.exe而不會是xxx.exe is tring to access XXX.exe in memory

    回覆刪除