* 不知標題用的對不對，如果不對，麻煩板主更正 * 不知此類 malware 的命名為何，暫稱 kavo * 叔叔有練過(雖然是新手)，請小朋友不要嘗試。 看板上有多位網友中了此 malware 或其變種，所以決定拿來作初步分析。 == 分析的 malware 來源 == hxxp://www.tw7890.com/twv/help.exe (連結已修改) 部分(不敢說全部)kavo類的病毒，會偷偷下載上列網址的檔案。 解不乾淨的話，會再下載回來安裝一次。 == 特性解析 == 在分析過程中，發現 help.exe 是一個處理過後的檔案。 必須要做一個前處理的動作，來解出原先的執行檔。 本篇命名如下： 1. help.exe (前處理前) 2. help-orig.exe (前處理後) 我將拿此兩個檔做 Anti-Virus 掃描。 == Anti-Virus 結果 == 分析的網站是 http://www.virustotal.com/ % help.exe Result: 16/32 (50%) // 表示32家 Anti-Virus 有 16 家至少說"可能有問題" 此 16 家的名單請見 http://www.flickr.com/photos/ant1005/1358696833/ % help-orig.exe Result: 15/32 (46.88%) // 表示32家 Anti-Virus 有 15 家至少說"可能有問題" 此 15 家的名單請見 http://www.flickr.com/photos/ant1005/1359586586/ 在此案例中，個人覺得優良的 Anti-Virus 名單為： - AntiVir - BitDefender - Ikarus - NOD32v2 - Symantec - Webwasher-Gateway == help-orig.exe 的特徵分析 == 因為 help.exe 是處理過的執行檔，所以沒辦法直接分析， 所以分析的是 help-orig.exe。 1. 影響平台 只會影響 windows 32bit 平台。 2. 產生的檔案 ntdelect.com, kavo.exe, kavo0.dll, kava 3. Registry (註冊碼) 以下的 {PREFIX} = NKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion A. {PREFIX}\Policies\Explorer\NoDriveTypeAutoRun B. {PREFIX}\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue C. {PREFIX}\Explorer\Advanced\ShowSuperHidden D. {PREFIX}\Explorer\Advanced\Hidden E. {PREFIX}\Run 4. 其它 比較特別的是發現有對 Game_start 存取的跡象，但不確定這是什麼。 == 後語 == 建議把 www.tw7890.com 列為黑名單網址。 -- ※ 發信站: 批踢踢實業坊(ptt.cc) ◆ From: 140.109.22.169