-
-
[原创]一个简单病毒的分析
-
发表于: 2010-8-19 17:37
-
生平在看雪的第一篇帖子,本人小菜,就拿一简单病毒入手,大牛们见笑....
病毒信息:
病毒类型: 后门
文件 MD5: 2A1AEF106795864CA9DB643A116807DC
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo
病毒行为:
释放文件:
c:\WINDOWS\Fonts\wuauclt.exe
病毒行为:
1. 提升自身权限;
2. 加载urlmon.dll,得到URLDownloadToFile函数的地址.调用函数下载病毒文件1a9K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0x3$3x3q4)9J5k6e0q4K6i4K6u0W2k6Y4u0Q4x3V1k6H3M7#2)9J5k6h3A6H3k6#2!0q4y4g2)9^5z5q4!0n7x3r3y4Q4x3@1q4Q4y4f1y4%4K9h3&6V1N6$3!0K6i4K6g2o6k6X3!0F1N6s2y4Q4y4f1y4Y4k6i4u0F1i4K6u0W2k6X3!0F1i4@1f1%4i4K6W2n7i4@1q4q4i4@1f1#2i4@1u0p5i4K6V1#2i4@1f1@1i4@1t1^5i4K6S2n7i4@1f1K6i4K6R3H3i4K6R3J5
3. 在c盘根目录下生成sa.exe文件,设置文件为文件夹样式并设置为隐藏属性。运行sa.exe,然后调用CMD命令结束wuault(系统自动更新)进程,然后将病毒本身拷贝到system下的font目录中并重新命名为wuault.exe。病毒运行font目录下的wuault程序后,调用cmd命令删除自体。
0012FBFC 0040247E ~$@. /CALL 到 WinExec 来自 dumped_.0040247C
0012FC00 0012FF20 . |CmdLine = "cmd /c del "C:\Documents and Settings\commander\桌面\dumped_.exe""
0012FC04 00000000 .... \ShowState = SW_HIDE
0012FC08 7C930738 8搢 ntdll.7C930738
4.将病毒信息保存在c:\windows\font\gern.fon文件中,从这个文件中读取信息并设置为IE首页。
5.开启1083端口等待网络连接..
附件:样本文件及加壳后文件。。因为是病毒所以加了密码,解压密码为:xiaoju
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
太强大了,无法学习了。
|
|
|
|
|
|
|
|
|
再次bs 这位小朋友
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
瞅瞅来
|
|
|
|
