社区应用 最新帖子 精华区 社区服务 会员列表 统计排行
  • 708阅读
  • 2回复

[分享]对OSO病毒的一次简单分析

楼层直达
z3960 
级别: 茶馆馆主
发帖
770868
飞翔币
207694
威望
215657
飞扬币
2511641
信誉值
8

对OSO病毒的一次简单分析由于病毒比较古老,而且网上样本一艘一大把,就不上传样本了。  病毒分析报告:OSO.exe病毒名称:oso.exe    卡巴:trojan-win32.QQPass.jh  金山:win32.troj.QQPass.jn.96897病毒大小:96,897字节 传播方式:网络下载、局域网传播、可疑动存储传播病毒类型:QQ木马、U盘病毒加壳发式:未加壳编写语言:Borland Delphi 6.0 -7.0指纹效验:MD5         :0A2BA47887C20ABBB42D0A1DD436D9B4RIPEMD-160  :A5753783E8D314F21D64CCCCA4352650EE4CCB6ECRC-32      : 55B5B466测试平台:win2000proSP4 + VM释放文件:severe.exe、tfidma.dll、tmidma.exe、conime.exe、oso.exe、autorun.inf、hx1.bat、病毒分析:Oso.exe运行后释放severe.exe、tfidma.dll、tmidma.exe到%windir%system32下,释放conime.exe到%windir%system32drivers下,开启severe.exe、tmidma.exe、conime.exe三个主进程调用rtutils.dll线程互守,通过修改注册表插入winlogon.exe进程实现登陆后启动;病毒通过修改注册表映像劫持,导致开启注册表编辑器等等一些程序会跳转到病毒所在目录运行病毒程序而不运行当前执行的任务;添加host使打开一些杀软的官方网址自动跳转到病毒指定网址;修改系统时间为2004-1-22;释放oso.exe和autorun.inf到d/e/f/g/h/i盘根目录下;使用GetWindow、GetKeyState、GetAsyncKeyState、FindWindowExA、FindWindowA、DefWindowProcA、CreateWindowExA等函数关闭含有如下字串的窗口:使用net和sc命令关闭如下进程且禁用服务:file:///Z:/msohtml1/03/clip_image014.jpg  注册表启动项:修改:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionWinlogonShell字符串: "Explorer.exeC:WINNTsystem32driversconime.exe"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionExplorerAdvancedFolderHiddenSHOWALLCheckedValue字符串: "0"[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionPoliciesExplorer]"NoDriveTypeAutoRun"=dword:b5新建:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRunadamrf键值: 字符串:"C:WINNTsystem32tfidma.exe"HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRuntfidma键值: 字符串:"C:WINNTsystem32severe.exe"关联映像劫持:HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsNTCurrentVersionImage File Execution Options*.被劫持程序 HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionImage FileExecution Options*.被劫持程序eDebugger键值: 字符串:"C:WINNTsystem32driversadamrf.exe"Autorun.inf内容:[AutoRun]open=OSO.exeshellexecute=OSO.exeshellAutocommand=OSO.exehx1.bat内容:@echo offset date=2004-1-22ping ** localhost > nuldate %date%del %0病毒查杀:使用下述批处理配合NTSD –c q -pPID命令获取病毒进程并停止进程,删除被映像劫持的注册表项,删除病毒文件释放文件即可;或者使用相关程序取消映像劫持,在进行病毒文件删除。echo wscript.echo "PID   ProcessName">>proess.vbeecho for each ps in getobject("winmgmts:\.rootcimv2:win32_process").instances_>>proess.vbeecho wscript.echops.handle^&vbtab^&ps.name>>proess.vbeecho next>>proess.vbecscript proess.vbe病毒防范:系统目录设置权限,在新建oso.exe文件到d/e/f/g/h/i根目录下取消所有用户的所有权限,使用防火墙关闭或审核本地137、138、端口。


QQ图片20180809234044.png (38.3 KB, 下载次数: 0)


QQ图片20180809234100.png (205.79 KB, 下载次数: 0)


QQ图片20180809234117.png (109.73 KB, 下载次数: 0)


QQ图片20180809234207.png (290.72 KB, 下载次数: 0)


QQ图片20180809234212.png (343.81 KB, 下载次数: 0)

关键词: 系统 下载 bot 木马
我不喜欢说话却每天说最多的话,我不喜欢笑却总笑个不停,身边的每个人都说我的生活好快乐,于是我也就认为自己真的快乐。可是为什么我会在一大群朋友中突然地就沉默,为什么在人群中看到个相似的背影就难过,看见秋天树木疯狂地掉叶子我就忘记了说话,看见天色渐晚路上暖黄色的灯火就忘记了自己原来的方向。
级别: 超级版主
发帖
830456
飞翔币
224550
威望
224618
飞扬币
2422758
信誉值
0

只看该作者 1 发表于: 2018-08-13
来看一下
级别: 超级版主
发帖
830456
飞翔币
224550
威望
224618
飞扬币
2422758
信誉值
0

只看该作者 2 发表于: 2018-08-13
不错,了解了