分析结果:
===============================
结论: Virus
壳名: UPX 0.89.6 - 1.02 / 1.05 - 1.22 -> Markus & Lazlo
权值: 31
MD5 : 047B8D29E470A845438920B236F19581
日期: 2008/05/15 11:58:12
===============================
概述:
该样本采用 UPX 0.89.6 - 1.02 / 1.05 - 1.22 -> Markus & Lazlo 加壳。样本运行后,有修改SSDT、创建或修改文件、删除文件、创建或修改注册表键值、删除注册表键值、遍历内存进程、创建线程、提升权限、操作(创建、删除或修改)服务的动作。
修改SSDT:
[F9E3C886]ZwCreateKey
[F9FE37BA]ZwQueryDirectoryFile
[F9E3C67A]ZwSetValueKey
[F9FE3D1A]ZwWriteVirtualMemory
[F9FE38C2]ZwDeviceIoControlFile
[F9E3DA5E]ZwCreateThread
创建或修改以下文件:
C:\WINDOWS\SYSTEM32\CC.DLL
C:\WINDOWS\SYSTEM32\CC.EXE
C:\WINDOWS\SYSTEM32\DRIVERS\CC.SYS
C:\WINDOWS\SYSTEM32\WINLOGO.DLL
删除以下文件:
C:\WINDOWS\SYSTEM32\WINLOGO.DLL
创建或修改以下注册表键值:
HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET001\SERVICES\CC\ENUM\NEXTINSTANCE
删除以下注册表键值:
HKEY_LOCAL_MACHINE\SYSTEM\CONTROLSET001\SERVICES\CC-SERVER\DEPENDONGROUP
APITRACE监控信息:
chi.exe:
CreateToolhelp32Snapshot()
Process32First()
Process32Next()
APIMON监控信息:
CHI.EXE:[248]:
CreateToolhelp32Snapshot( )
Process32First( )
CHI.EXE:[156]:
LookupPrivilegeValue( SystemName: Name:SELOADDRIVERPRIVILEGE )
AdjustTokenPrivileges( )
CreateService( ServiceName:CC-SERVER,DisplayName:CC-SERVER,BinaryPathName:C:\WINDOWS\SYSTEM32\CC.EXE -U )
EXPLORER.EXE:[156]:
StartService( )
