今天发现此种病毒求助者见多 收到样本后利马测试了一下,该病毒就是前些日子流行的 修改系统时间的病毒之变种,此次变种可谓是集N种破坏性病毒之大成了.

病毒行为分析：
1.rising.exe运行后 首先释放一个rising.eve的文件然后由rising.exe启动他
之后 释放139CA82A.EXE 139CA82A.dll（随机的8个数字字母组合成的文件名）到系统文件夹注册服务139CA82A.EXE
139CA82A.EXE控制winlogon进程 使得139CA82A.dll插入几乎所有进程

2.释放rising.exe 和autorun.inf 到每个分区 使得双击磁盘启动

3.感染 除系统分区外的exe文件 使得其公司名全变为番茄花园(被感染的exe运行后会释放risng.exe和一个和被感染文件同名的扩展名为eve的文件，其实那个eve的文件就是被感染文件的源文件)

4.感染 html asp 等文件 在其后面插入代码

http://web.yulett.cn/count.htm下载的是http://www.xxxxsou8.cn/update3.exe
经检测也是 rising.exe

5.修改系统时间 随机把年份往前调 月，日不变

6.修改 HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue:
值为 0x00000000
导致无法显示隐藏文件,rising.exe 还会hook 多个 API函数 使其进程在任务管理器中隐藏

7.使用Explorer.exe连接网络 61.152.92.98:80下载木马
下载的木马一般为K117815XXXXX.exe
XXXXX代表随机到系统文件夹

由于 每台机器上下载的木马的名称不同 但最后结果相同所以中间释放的过程省略
最后 这些木马运行后分别释放了如下文件
C:\WINDOWS\system32\buchehuo.exe（创建了服务inetsvr）
C:\WINDOWS\system32\cmdbs.dll
C:\WINDOWS\cmdbs.exe
C:\WINDOWS\system32\Kvsc3.dll
C:\WINDOWS\Kvsc3.exe
C:\WINDOWS\system32\mppds.dll
C:\WINDOWS\mppds.exe
C:\WINDOWS\system32\msccrt.dll
C:\WINDOWS\msccrt.exe
C:\WINDOWS\system32\winform.dll
C:\WINDOWS\winform.exe
C:\WINDOWS\system32\winsock.exe
C:\WINDOWS\cnzz.exe
C:\WINDOWS\system32\cnzz.dll
C:\WINDOWS下分别释放 类似SysXXXX的文件夹 里面一般有两个文件一个是svchost.exe
一个hook.dll
XXXX(代表数字或者字母的组合)
临时文件夹下 释放upxdnd.exe和upxdnd.dll

[1] [2] 下一页