2009-01-20

樣本分析-kavo新變種

這是一個流行已久的隨身碟病毒樣本,也就是俗稱的kavo
單從手法上來看,行為上其實沒什麼特殊,就只是一直變種躲緝毒引擎
這類隨身碟病毒多到數不清,自己的隨身碟如果沒有防寫保護
很容易就會被感染!對付這種改變自身的病毒其實不難,行為幾乎大同小異
下面我使用KIS 2009,並使用去年11月27號的特徵碼直接執行
來看看HIPS動態防禦的結果!



首先從結果來看,在system32下有不少衍生物
其中應該是先衍生出mkfght0.dll,如果有用一些免疫鎖之類的
擋住了mkfght0.dll後會繼續衍生出mkfght1.dll~mkfght9.dll
這個部分我沒有重測,但這種方法可以避過一些彷間投機取巧式的"免疫軟體"
il0byu3h.com (events: 19)
2009/1/20 下午 06:39:24 Placed in group High Restricted
2009/1/20 下午 06:39:24 Setting debug privileges Denied: KLPrivileges/KLPermissionSystem/KLPermissionPrivileges/KLSetDbgPrivilege
2009/1/20 下午 06:39:24 Modification C:\WINDOWS\system32\drivers\cdaudio.sys Denied: KLSystemData/KLSystemFiles/Drivers
2009/1/20 下午 06:39:24 Create C:\WINDOWS\system32\rttrwq.exe Denied: KLSystemData/KLSystemFiles/SystemExe
2009/1/20 下午 06:39:24 Create C:\WINDOWS\system32\rttrwq.exe Denied: KLSystemData/KLSystemFiles/SystemExe
2009/1/20 下午 06:39:24 Create C:\WINDOWS\system32\rttrwq.exe Denied: KLSystemData/KLSystemFiles/SystemExe
2009/1/20 下午 06:39:24 Create C:\WINDOWS\system32\mkfght0.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2009/1/20 下午 06:39:24 Create C:\WINDOWS\system32\mkfght1.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2009/1/20 下午 06:39:24 Create C:\WINDOWS\system32\mkfght2.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2009/1/20 下午 06:39:24 Create C:\WINDOWS\system32\mkfght3.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2009/1/20 下午 06:39:24 Create C:\WINDOWS\system32\mkfght4.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2009/1/20 下午 06:39:24 Create C:\WINDOWS\system32\mkfght5.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2009/1/20 下午 06:39:24 Create C:\WINDOWS\system32\mkfght6.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2009/1/20 下午 06:39:24 Create C:\WINDOWS\system32\mkfght7.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2009/1/20 下午 06:39:24 Create C:\WINDOWS\system32\mkfght8.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2009/1/20 下午 06:39:24 Create C:\WINDOWS\system32\mkfght9.dll Denied: KLSystemData/KLSystemFiles/SystemDll
2009/1/20 下午 06:39:25 Modification hkey_users\S-1-5-21-796845957-1390067357-839522115-500\Software\Microsoft\Windows\CurrentVersion\Run Denied: KLSystemData/KLStartupRegKeys/Main_Run
2009/1/20 下午 06:39:43 Access to another process memory c:\windows\explorer.exe Denied: KLPrivileges/KLPermissionAppAccess/KLPermissionProcEmbed/KLReadProcMem
2009/1/20 下午 06:39:53 Process start c:\windows\system32\dwwin.exe Denied: KLPrivileges/KLPermissionAppAccess/KLPermissionProcManage/KLStartProc


提示該com執行檔可能是個危險程式,且不具有任何數位簽章



提示該com執行檔歸類為高危群組,並試圖讀取其它process的記憶體內容



試圖啟動錯誤回報員



總結來說,只要用中等程度的HIPS就可以完全防禦這種隨身碟病毒了
大部分人嚐試的A+B+C或B+D+E還不如Single AV+Single HIPS
或者是像KIS這種AV+HIPS的,例如Panda、F-secure等這些
裝太多AV,所產生的效果不見得可以得到累加的防護效果
選擇好一個好的安全軟體才是最重要的事情!

6 則留言:

  1. 對 kavo 系列只有一個感想 - 煩死了。

    實在搞不懂,為什麼都幫別人裝了小紅傘,居然還可以被溜過去感染一大串?

    結果回到我手上來,還得先反安裝小紅傘(因為已經被弄壞了,而且嗶嗶個不停),然後上網找最新的 Kavo 與其變種的專門解毒程式…

    我覺得從我接觸的人他們的資安觀念來看,這小雜種應該還會肆虐一陣子QQ

    回覆刪除
  2. 就算是Antivir或者是GDATA Antivirus還是會有被過的危險

    要對付這類的威脅可以考慮在現有防毒上(如小紅傘)外加ThreatFire這種免費好用的HIPS軟體

    或者如版主建議可選擇綑有智能HIPS讓非專業人士也很容易上手的防護套裝...如KIS...F-Secure或Panda...

    KIS的HIPS雖然還是有些視窗不過選項大都有"(建議操作)"的提示...說實在真的沒有什麼難度...

    偵測率第一已經不能代表絕對的安全

    話說小紅傘 9.0 測試版我上禮拜心血來潮想說好久不見了裝來試...

    最高啟發居然報 C:\Windows\explorer.exe 是啟發式木馬...然後沒多做考慮就被我移除了 Orz

    繼續換回 KIS 8.0.0.506

    回覆刪除
  3. 因為目前以個人免費授權的防毒軟體來看,小紅傘好像是實力最強的(?)。KIS 的話,我有朋友弄到不能上網,原因是把 KIS 設成 IE 封鎖…Orz。

    我覺得一些功能很強大的軟體不太適合輕度電腦使用者,譬如家庭用戶,因為某些軟體會問的問題既多且難懂,所以才會有上面把 IE 給封鎖的烏龍事件。

    像我之前也是試了一 COMODO,後來因為被問煩了(XD),所以移除用回小紅傘 + XP內建防火牆…(謎之音:其實就是個個「懶」而已~)

    回覆刪除
  4. 有不少個KAVO變種是可以避過ANTIVIR的(雖然多數可以用GEN擋下),所以要中的機會還是不少。

    多一個ThreatFire,提權裝驅動的動作就會被攔截,如果肯看一下內容,是可以簡單防堵的。

    綑有智能HIPS的防護套裝有一點比較麻煩,就是有幾款的防火牆很糟;多了沒用、裝了礙事。但是要加裝其他防火牆,行為偵測的元件又會衝突……

    >話說小紅傘 9.0 測試版我上禮拜心血來潮想說好久不見了裝來試...
    >最高啟發居然報 C:\Windows\explorer.exe 是啟發式木馬...然後沒多做考慮就被我移除了 Orz
    哈哈……ANTIVIR的啟發不知道是否還是單純靠BINARY CODE的取樣比對,這樣白名單絕對少不了。

    我現在能摸到的電腦,一定先關閉自動播放,再在「本機安全性原則」中增加路徑規則阻擋隨身碟中任何執行檔執行。因為根本不可能教會多數使用者迴避autorun.inf開啟隨身碟、又有很多機器上不方便裝ThreatFire(裝了也一定會有白痴趕著開啟給你按ALLOW),乾脆直接卡死,到時你中毒隨身碟點兩下開不起來是你家的事……

    今天又遇到兩個裸奔天王到處養馬亂傳……

    回覆刪除
  5. CFP真的不難用,用「學習」轉「偏執」,善用「安裝模式」。並且對壓縮程式、瀏覽器、下載程式、EXPLORER設幾個「*.*」規則,你幾乎不會看到他跳警告。

    但是因為內部設定還是得摸,所以沒時間搞這些的話,還是裝ThreatFire輔助ANTIVIR最實在。

    而且ANTIVIR一旦被過中毒,那基本上是不用指望它能清的,有時連偵測都不行。所以一定要準備幾個簡單的後備方案(免安裝掃描器和進程檢查工具)來應付萬一的情形。

    回覆刪除
  6. 謝謝 S. Peter 的建議,「裸奔天王到處養馬亂傳」這段笑死我了 XDD

    只怕到時候,又有人拿電腦來問我「為什麼不會 AUTORUN 了?」,我大概會切腹吧~XD

    回覆刪除