[原创]简单病毒RavMon.exe的分析[原创]-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]简单病毒RavMon.exe的分析[原创]

发表于: 2008-11-8 20:40 11631

[原创]简单病毒RavMon.exe的分析[原创]

petnt

2008-11-8 20:40

11631

【文章标题】: 简单病毒RavMon.exe的分析
【文章作者】: petnt
【作者邮箱】: petnt@sohu.com
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  爱机裸奔数月，终于不幸中招。没想到第一次就碰上个软柿子，是菜菜们很好的试练品，嘿嘿，解剖一下供大家分享。

  病毒主要文件为RavMon.exe，AutoRun.inf、SVCHOST.EXE、SVCHOST.INI、MDM.exe文件均可由其生成。系统感染病毒后，会在本地磁盘和可移动磁盘中根目录下生成RavMon.exe、AutoRun.inf两个文件。Windows目录下生成SVCHOST.EXE、SVCHOST.INI、MDM.exe三个文件。

  病毒运行会创建一个隐藏窗口，进程名为SVCHOST.EXE（RvaMon.exe的复制品，仅文件名不同），MDM.exe会在病毒运行中释放出来，主要用于修改注册表使病毒自运行。

  在病毒体窗口事件中，主要处理了3个事件：WM_CREATE,WM_TIMER,WM_DEVICECHANGE。
●

在WM_CREATE事件过程中，主要创建了两个定时器，并更改注册表隐藏文件。

定时器1（30秒触发一次）用来感染本地磁盘和可移动磁盘。

登录后可查看完整内容

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

上传的附件：

附件.rar （73.98kb，220次下载）

收藏・5

免费・7

支持

最新回复 (15)
xiaofu 雪币： 1564 活跃值： (3567) 能力值： ( LV13，RANK：420 ) 在线值：发帖 118 回帖 638 粉丝 273 关注私信	xiaofu 8 2 楼版主快快+精华, 2008-11-8 22:33 0
xiaofu 雪币： 1564 活跃值： (3567) 能力值： ( LV13，RANK：420 ) 在线值：发帖 118 回帖 638 粉丝 273 关注私信	xiaofu 8 3 楼牛人。膜拜ing.我现在连VC++也不会呢，哎 2008-11-9 13:21 0
zhendu 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	zhendu 4 楼呵呵！！！不错哦~!! 2008-11-9 20:30 0
suna 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	suna 5 楼下载,学习中,谢谢 2008-11-9 22:02 0
zzlya 雪币： 6985 活跃值： (2784) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 248 粉丝 0 关注私信	zzlya 6 楼详细过程都在附件里？ 2008-11-11 13:27 0
dldw3s 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	dldw3s 7 楼很好，学习学习~~~~~ 2008-11-11 17:00 0
wswangshao 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wswangshao 8 楼苦恼的汇编语言啊！！！！先下下来看看，那基本的14个命令还没弄明白呢。郁闷。 2008-11-11 21:39 0
wswangshao 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wswangshao 9 楼哈哈，楼主太仔细了，连流程图都给画出来了。哈哈。 2008-11-11 21:41 0
newjueqi 雪币： 251 活跃值： (25) 能力值： ( LV9，RANK：290 ) 在线值：发帖 22 回帖 392 粉丝 2 关注私信	newjueqi 7 10 楼 petnt大侠，根据你提供的病毒样品写了这个病毒的汇编源码分析（http://bbs.pediy.com/showthread.php?t=76544），请多多指教问一个问题，病毒对文件的MD5校验是怎么实现？ 2008-11-13 12:25 0
scorpion 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	scorpion 11 楼楼主仔细~学习 2008-11-13 16:23 0
tjszlqq 雪币： 1645 活跃值： (2801) 能力值： ( LV4，RANK：50 ) 在线值：发帖 46 回帖 892 粉丝 3 关注私信	tjszlqq 1 12 楼支持一下,以前看到你感叹什么时候才能分析木马,想不到你终于会了啊,一年过去了,不过我的水平不进反退, 2008-11-18 16:11 0
bbadsl 雪币： 309 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	bbadsl 13 楼楼主是我学习的榜样，谢谢分享 2009-8-20 11:39 0
ipandora 雪币： 37 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	ipandora 14 楼感谢楼主的提供谢谢 2009-9-14 20:51 0
zyr零零发雪币： 808 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 330 粉丝 0 关注私信	zyr零零发 1 15 楼 The data I just wanted is wonderful.Thank you very much. 2010-1-18 10:51 0
昨夜风雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 97 粉丝 0 关注私信	昨夜风 16 楼很强大..: 2010-1-18 22:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

petnt

发帖

1215

回帖

490

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (15)
xiaofu 雪币： 1564 活跃值： (3567) 能力值： ( LV13，RANK：420 ) 在线值：发帖 118 回帖 638 粉丝 273 关注私信	xiaofu 8 2 楼版主快快+精华, 2008-11-8 22:33 0
xiaofu 雪币： 1564 活跃值： (3567) 能力值： ( LV13，RANK：420 ) 在线值：发帖 118 回帖 638 粉丝 273 关注私信	xiaofu 8 3 楼牛人。膜拜ing.我现在连VC++也不会呢，哎 2008-11-9 13:21 0
zhendu 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	zhendu 4 楼呵呵！！！不错哦~!! 2008-11-9 20:30 0
suna 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	suna 5 楼下载,学习中,谢谢 2008-11-9 22:02 0
zzlya 雪币： 6985 活跃值： (2784) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 248 粉丝 0 关注私信	zzlya 6 楼详细过程都在附件里？ 2008-11-11 13:27 0
dldw3s 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 26 粉丝 0 关注私信	dldw3s 7 楼很好，学习学习~~~~~ 2008-11-11 17:00 0
wswangshao 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wswangshao 8 楼苦恼的汇编语言啊！！！！先下下来看看，那基本的14个命令还没弄明白呢。郁闷。 2008-11-11 21:39 0
wswangshao 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	wswangshao 9 楼哈哈，楼主太仔细了，连流程图都给画出来了。哈哈。 2008-11-11 21:41 0
newjueqi 雪币： 251 活跃值： (25) 能力值： ( LV9，RANK：290 ) 在线值：发帖 22 回帖 392 粉丝 2 关注私信	newjueqi 7 10 楼 petnt大侠，根据你提供的病毒样品写了这个病毒的汇编源码分析（http://bbs.pediy.com/showthread.php?t=76544），请多多指教问一个问题，病毒对文件的MD5校验是怎么实现？ 2008-11-13 12:25 0
scorpion 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	scorpion 11 楼楼主仔细~学习 2008-11-13 16:23 0
tjszlqq 雪币： 1645 活跃值： (2801) 能力值： ( LV4，RANK：50 ) 在线值：发帖 46 回帖 892 粉丝 3 关注私信	tjszlqq 1 12 楼支持一下,以前看到你感叹什么时候才能分析木马,想不到你终于会了啊,一年过去了,不过我的水平不进反退, 2008-11-18 16:11 0
bbadsl 雪币： 309 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 28 粉丝 0 关注私信	bbadsl 13 楼楼主是我学习的榜样，谢谢分享 2009-8-20 11:39 0
ipandora 雪币： 37 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 27 粉丝 0 关注私信	ipandora 14 楼感谢楼主的提供谢谢 2009-9-14 20:51 0
zyr零零发雪币： 808 活跃值： (10) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 330 粉丝 0 关注私信	zyr零零发 1 15 楼 The data I just wanted is wonderful.Thank you very much. 2010-1-18 10:51 0
昨夜风雪币： 34 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 97 粉丝 0 关注私信	昨夜风 16 楼很强大..: 2010-1-18 22:46 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复