[注意]:好像当前的AVP查不出此病毒,因为我开着,没有报警。(附件中有相关文件)
脱壳点:
004001D1 - FF63 0C jmp dword ptr ds:[ebx+C]
程序是Delphi写的,程序加壳。首先OD跟进,把衣服脱之(由于脱壳后还有很多API地址要修改,这些我就不做了。)。基本分析查看后,有如下操作:
。对注册表的操作
1。“Software\Microsoft\Windows\CurrentVersion\Policies\WinOldApp”注册表项,并赋值为:"Deleteme.bat"
2。“SoftWare\Microsoft\Windows\CurrentVersion\Run”
3。“SYSTEM\CurrentControlSet\Services\”
我猜想此程序的主要伪装名应该是“C:\WINDOWS\system32\NTdhcp.exe”吧。因为正常的电脑里是没有这个文件的。
还会列举当前进程,如果是以下几种杀毒程序就会杀掉。“FireTray.exe UpdaterUI.exe TBMon.exe SHSTAT.EXE RAV.EXE RAVMON.EXE RAVTIMER.EXE Iparmor.exe MAILMON.EXE KAVPFW.EXE KmailMon.EXE KAVStart.exe TrojanDetector.EXE KVFW.EXE KAVPLUS.EXE KWATCHUI.EXE KPOPMON.EXE KAV32.EXE CCAPP.EXE MCAGENT.EXE MCVSESCN.EXE MSKAGENT.EXE EGHOST.EXE KWatch9x.exe KvDetech.exe KATMain.EXE”等等,还要关掉以下的这些服务:“
"RsRavMon""RsCCenter""KVSrvXP""kavsvc""KPfwSvc""KWatchSvc""wscsvc""SNDSrvc""ccProxy""ccEvtMgr""ccSetMgr""SPBBCSvc""Symantec Core LC""navapsvc""NPFMntor""MskService""McTaskManager""McShield""McAfeeFramework"”一些现在大家用的杀毒程序,太坏了,太坏了。
还搞了远程进程,就算是关了病毒程序也没用的,我想这个远程进程会再重新补上去的吧。
我只是小小的分析一下,不敢真正运行。我可不想到那么麻烦,一个一个的来找,然后一个一个的杀毒。如果哪会兄弟有心,运行一下,然后用网站监控软件把此程序要发送到的邮箱搞到手,然后给他炸暴,或是什么如垃圾信件给他,或是通知相关单位把此人杀了。。。。哈哈。
附件:mm.rar
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
