分析结果:

　　===============================

　　结论: Virus

　　壳名: UPX 0.89.6 - 1.02 / 1.05 - 1.22 -> Markus & Lazlo

　　权值: 31

　　MD5 : 047B8D29E470A845438920B236F19581

　　日期: 2008/05/15 11:58:12

　　===============================

　　概述：

　　该样本采用 UPX 0.89.6 - 1.02 / 1.05 - 1.22 -> Markus & Lazlo 加壳。样本运行后，有修改SSDT、创建或修改文件、删除文件、创建或修改注册表键值、删除注册表键值、遍历内存进程、创建线程、提升权限、操作（创建、删除或修改）服务的动作。

　　修改SSDT：

　　[F9E3C886]ZwCreateKey

　　[F9FE37BA]ZwQueryDirectoryFile

　　[F9E3C67A]ZwSetValueKey

　　[F9FE3D1A]ZwWriteVirtualMemory

　　[F9FE38C2]ZwDeviceIoControlFile

　　[F9E3DA5E]ZwCreateThread

　　创建或修改以下文件：

　　C:WINDOWSSYSTEM32CC.DLL

　　C:WINDOWSSYSTEM32CC.EXE

　　C:WINDOWSSYSTEM32DRIVERSCC.SYS

　　C:WINDOWSSYSTEM32WINLOGO.DLL

　　删除以下文件：

　　C:WINDOWSSYSTEM32WINLOGO.DLL

　　创建或修改以下注册表键值：

　　HKEY_LOCAL_MACHINESYSTEMCONTROLSET001SERVICESCCENUMNEXTINSTANCE

　　删除以下注册表键值：

　　HKEY_LOCAL_MACHINESYSTEMCONTROLSET001SERVICESCC-SERVERDEPENDONGROUP

　　APITRACE监控信息：

　　chi.exe:

　　 CreateToolhelp32Snapshot()

　　 Process32First()

　　 Process32Next()

　　APIMON监控信息：

　　CHI.EXE:[248]:

　　 CreateToolhelp32Snapshot( )

　　 Process32First( )

　　CHI.EXE:[156]:

　　 LookupPrivilegeValue( SystemName: Name:SELOADDRIVERPRIVILEGE )

　　 AdjustTokenPrivileges( )

　　 CreateService( ServiceName:CC-SERVER,DisplayName:CC-SERVER,BinaryPathName:C:WINDOWSSYSTEM32CC.EXE -U )

　　EXPLORER.EXE:[156]:

　　 StartService( )