一个几乎被所有杀软误判的病毒

 

今天下午收到一个样本，是一个PE感染型的病毒，同时具有反-杀毒软件的功能，并且可以通过U盘和网络传播。但是其最主要的危害在于——受感染的文件在运行后会被删除！

 

而另一方面，大部分主流杀毒软件帮了倒忙，受感染的文件或被误检测为后门，或被误检测为蠕虫，或被误检测为木马，最终将被感染的文件删除而非进行清除修复。

 

以下是受感染的记事本文件（notepad.exe）的检测结果

       FileName   : NOTEPAD.EXE

       TrendMicro : PE_ENISSEC.JM

       Symantec   : Backdoor.Trojan

       McAfee     : New Malware.aq !!

       Kaspersky  : Trojan-Downloader.Win32.Delf.qmt

       Rising     : [>>nspack]:Worm.Win32.Undef.bt

       Norman     : Trojan W32/Packed_Nspack.A   

       HBEDV      : TR/Dldr.Delphi.Gen    

       Nod32      : NO_VIRUS

       Panda      : NO_VIRUS

       CAI        : NO_VIRUS

       CAV        : NO_VIRUS

       Microsoft  : NO_VIRUS

       Fortinet   : NO_VIRUS

       Clamav     : NO_VIRUS

       Ewido      : NO_VIRUS

       Grisoft    : NO_VIRUS

       Fprot      : NO_VIRUS

       Ad-Aware   : NO_VIRUS

 

可以看到除了趋势科技正常的检测为PE感染型病毒并成功清除外，其他杀毒软件都不检测或检测错误：赛门铁克检测为后门木马（处理措施删除），麦咖啡检测为启发式检测，卡巴斯基检测为木马下载器（处理措施删除），瑞星检测为蠕虫（处理措施删除）。

 

可以想见，如果电脑中了这个病毒之后用户采用以上品牌的杀毒软件非但不能有效的清除病毒，反而会将收感染的正常文件删除从而导致更大的损失。

 

 

 

以下是这个病毒的一些详细信息：

 

文件名：TXPlatform.exe

文件大小：76,295 字节

MD5：72f15fd22e6d41101c8524831745b6f2

加壳信息：双层壳，第一层北斗壳，第二层未知壳

原始文件

脱了一层壳

又脱了一层，原来是Delphi

 

主要行为：

 

1.         释放并执行文件%windir%\system32\drivers\TXPlatform.exe，并加入自启动，之后退出原始进程，并删除原始文件（若该文件是受感染的文件运行后就被删除了），若运行的文件本身是%windir%\system32\drivers\TXPlatform.exe则跳过此步骤

2.         %windir%\system32\drivers\TXPlatform.exe执行后释放文件C:\QQ.sys（也是恶意文件，被检测为TSPY_AARD.A）

3.         关闭显示隐藏文件及显示系统文件功能

4.         遍历进程，如进程中有svchosL.exe则终止该进程（这是另一个病毒的进程，难道是病毒竞争行为？）

5.         打开自动播放功能

6.         在各磁盘根目录下生成病毒文件及autorun.inf，病毒文件名成为“　　　.exe”（三个全角空格，你看不见我～～），autorun.inf内容为：

    [AutoRun]

    OPEN=　　　.exe

    shell\open=打开(&O)

    shell\open\Command=　　　.exe

    shell\open\Default=1

    shell\explore=资源管理器(&X)

    shell\explore\Command=　　　.exe

  这样插入U盘后不管是双击打开U盘或者右击选择“打开”或“资源管理器”都会感染病毒。

7.         关闭Windows防火墙

8.         通过关键字搜索并关闭常见的杀毒软件的服务、进程

kavsvc

AVPAVPkavsvc

AVPkavsvc

kav

McShield

McTaskManager

McAfeeFramework

McShield

McTaskManager

navapsvc

wscsvc

KPfwSvc

SNDSrvc

ccProxy

ccEvtMgr

SNDSrvc

ccEvtMgr

ccSetMgr

SPBBCSvc

Symantec Core LC

NPFMntor

MskService

RsCCenter

RsRavMon

AVP

AVPkavsvc

RsCCenter

RsRavMon

AVPkavsvc

（包含了赛门铁克、麦咖啡、瑞星等）

9.         删除常见杀毒软件的自启动项

SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav

SOFTWARE\Microsoft\Windows\CurrentVersion\Run\AVP

SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI

SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Network Associates Error Reporting Service

SOFTWARE\Microsoft\Windows\CurrentVersion\Run\ShStatEXEnavapsvc

10.     如发现窗口中含有以下字符则终止该进程

Winsock Expert

ComnView

SmartSniff

Sniff

CaptureNet

spynet

Dsniff

嗅探

抓包

（Anti-Anti-ARP）

11.     寻找网络共享，使用guest账号、admin帐号、Administrator账号及Root账号（难道是觊觎Linux的美色？）并尝试使用空密码登录，复制病毒至共享文件

12.     感染所有exe文件，除非文件路径中包含以下关键字

WinRAR

WINNT

system32

Documents and Settings

System Volume Information

Recycled

Windows NT

WindowsUpdate

Windows Media Player

Internet Explorer

NetMeeting

Common Files

ComPlus Applications

Common Files

Messenger

InstallShield Installation Information

MSN Gamin Zone

（对各位大大手下留情，否则自己也活不了了，对要利用的小弟也放一马）

13.     感染压缩包中的exe文件（使用Winrar解压并压缩，知道为什么之前不感染winrar了吧）

       使用的命令行

       解压压缩包：C:\Program Files\WinRAR\winrar.exe" x -inul -ibck -p-

       更新压缩包内的文件：C:\Program Files\WinRAR\winrar.exe" u -as -ep1 -inul -ibck

14.     使用IE下载其他恶意程序

15.     ARP攻击

 

 

by Peter Zang