ctfmen.exe病毒行為分析

         這是towns從同事的電腦中抓回來的病毒，towns把他拿來做封機測試。這裡會說明到towns用了哪些軟體來抓這個病毒。

       測式環境：
       OS：windows XP PRO SP3
       受測病毒：ctfmen.exe
       監測工具：ProcessExplorer 1121版
                            Regmon.exe
                            Filemon.exe
                            ZoneAlarm 80298版

工具說明：
ProcessExplorer -- windows 工作管理員進階版，可以清楚的追蹤該程序所有的相關資訊（如開了什
                                   立DLL檔、開了什麼PORT等等）
Regmon -- 用來追蹤該程式產生了什麼機碼或對機碼做了什麼事
Filemon -- 用來追蹤該程式產生了什麼檔案或對檔案做了什麼事
ZoneAlarm -- 用來封鎖軟體對網路的行為

症況
1.點該檔案後，該檔案會自動轉移到該磁碟的根目錄並自動隱藏，且關閉隱藏檔顯示功能，當關閉
   該程序後，隱藏檔顯示功能恢復正常
2.會自動對連線，並開啟UDP 1050或其他隨機UDP 1000以上port，並不定時開啟其他UDP port，如
    1076、1079、1080、1104、1105等port，並對外要存取資料，看起來，他會一個一個port掃下去
3.針對檔案的行為有：open、query infomation、close、directory、set infomation、Lock、
    Unlock、create、read，看起來是在收集資料，有興趣可以下載這個excel 檔來看看
    http://vip2.blueshop.com.tw/towns/crfmen/Filemon_1.rar
4.針對機碼的行為有：CloseKey、CreateKey、DeleteKey、EnumerateValue、EnumerateKey、 
    OpenKey、QueryKey、QueryValue、SetValue，看起來是在收集資料，有興趣可以下載這個excel     檔來看看
    http://vip2.blueshop.com.tw/towns/crfmen/Regmon_1.rar

        這支程式（ctfmen.exe），看來是收集資料、傳送資料軟體，應該是傳說中的木馬程式，towns並未開放讓該程式對外連結，僅單純的讓他在獨立的系統中執行，下次有空，再來追蹤他會連到哪裡去。
        觀察這些程式的行為，可以瞭解到，windows系統有哪些漏洞，也可以瞭解我們安裝系統後重要的資料放在哪裡（如帳號、密碼等等），有時還蠻有趣的

---

補充說明
1.ProcessExplorer 1121版已經可以有效的取得該程式的相關連結，如key值、事件、相關DLL、檔案位置等等
相關圖形：http://vip.blueshop.com.tw/towns/crfmen/pe1121.jpg
http://vip.blueshop.com.tw/towns/crfmen/pe1121_1.jpg