[原创]某论坛的挂马简单分析-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]某论坛的挂马简单分析

发表于: 2009-4-28 02:53 11209

[原创]某论坛的挂马简单分析

Nisy

2009-4-28 02:53

11209

晚上听群里说FF被挂马了试着分析一下：
下载：h**p://w11.4g2s.com/1/eX.exe

UPS壳脱壳后用DUP做个搜索替换补丁去下花：

第一组：
60 B8 00 09 00 00 E9 01 00 00 00 E8 B8 77 07 00 00 BB 88 08 00 00 83 C3 25 83 C0 29 83 E8 14 83
EB 14 33 C9 90 83 E8 22 83 E8 21 90 83 E8 04 90 83 C3 0E 90 83 C0 56 90 83 E8 42 90 83 C3 25 83
C0 29 83 C3 25 83 C0 29 83 C3 25 83 C0 29 83 E8 22 33 C0 52 5A 90 53 5B B8 11 06 00 00 90 83 C0
16 90 83 E8 05 83 E8 32 90 33 C0 83 C0 36 83 E8 31 83 C3 32 83 EB 31 90 83 C0 36 83 E8 31 83 C3
32 83 EB 31 90 33 C0 83 C3 0F 83 C0 13 83 E8 10 83 E8 05 83 E8 10 83 C3 0F 83 C0 13 83 E8 04 83
C0 66 83 F8 00 0F 84 E2 FF FF FF 61

90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90

第二组：
60 74 0D 75 0B E8 ?? ?? ?? ?? E3 E4 E5 ?? E7 ?? 61
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90

主程序简单看下由于有大量的垃圾指令而且主程序主要是释放文件的没啥意思所以简单说下他做干了点啥吧

1. 先检查是否有窗体上弹出(ASCII "TTe.er.eabcds.ss")这个字符串，如果有就是发现被报毒了就退出了
2. 干掉NOD
004010D8=dumped_.004010D8 (ASCII "cmd.exe /c taskkill.exe /im ")
00401160=dumped_.00401160 (ASCII "ekrn.exe")
00401150=dumped_.00401150 (ASCII "egui.exe")

这样能干掉NOD？？？
taskkill.exe /im ekrn.exe
taskkill.exe /im egui.exe
ekrn.exe被卡掉后  services 会马上去创建该进程

3. 创建killdll.dll 运行后并删除（剿灭黑名单）
4. 根据开机时间生成一个EXE文件
00402743 FF15 5C104000    CALL DWORD PTR DS:[<&kernel32.GetTickCount>]       ; kernel32.GetTickCount
00402749 50                PUSH EAX
0040274A 8D8D 94F5FFFF    LEA ECX,DWORD PTR SS:[EBP-A6C]
00402750 51                PUSH ECX
00402751 68 44124000       PUSH dumped_.00401244                            ; ASCII "%s%d_xeex.exe"
00402756 8D95 94F5FFFF    LEA EDX,DWORD PTR SS:[EBP-A6C]
0040275C 52                PUSH EDX
0040275D FF15 A8104000    CALL DWORD PTR DS:[<&user32.wsprintfA>]          ; USER32.wsprintfA

==>  我的是 16427328_xeex.exe（下载一些东东）
5. 创建驱动 pcidump.sys  并安装该驱动
6. 创建_uok.bat // 创建运行并删除历史痕迹

:Repeat
del "C:\dumped_.exe"
if exist "C:\dumped_.exe" goto Repeat
rmdir C:
del "H:\temp\S-1-5-~1\temp\_uok.bat"

====================================================

IDA 简单看了一下16427328_xeex.exe 和  killdll.dll

EAX=0012F44C, (ASCII "813K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4N6^5k6#2)9J5k6e0y4W2K9s2y4Q4x3X3g2U0L8$3#2Q4x3V1j5H3x3g2)9J5c8X3k6*7i4K6u0W2N6s2S2@1")

前者下载一堆这个东西：

1:ceaK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4f1&6i4K6u0W2k6h3b7K6N6q4)9J5k6h3y4G2L8g2)9J5c8Y4y4T1i4K6u0r3x3o6q4Q4x3V1k6G2K9#2)9J5k6h3g2^5k6b7`.`.
1:6fcK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4f1I4i4K6u0W2k6h3b7K6N6q4)9J5k6h3y4G2L8g2)9J5c8X3I4S2i4K6u0r3e0o6q4Q4x3X3g2W2P5r3f1`.
1:f4fK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4f1I4i4K6u0W2k6h3b7K6N6q4)9J5k6h3y4G2L8g2)9J5c8X3I4S2i4K6u0r3e0o6y4Q4x3X3g2W2P5r3f1`.
……
1:e1aK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4f1&6i4K6u0W2k6h3b7K6N6q4)9J5k6h3y4G2L8g2)9J5c8X3y4B7i4K6u0r3j5e0S2Q4x3X3g2W2P5r3f1`.
1:923K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4f1&6i4K6u0W2k6h3b7K6N6q4)9J5k6h3y4G2L8g2)9J5c8X3y4B7i4K6u0r3j5%4y4B7i4K6u0W2k6i4S2W2
1:4e5K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4f1&6i4K6u0W2k6h3b7K6N6q4)9J5k6h3y4G2L8g2)9J5c8X3y4B7i4K6u0r3M7$3u0Q4x3X3g2W2P5r3f1`.

DLL文件干掉黑名单的进程

.text:10005115                mov    dword ptr [ebp-110h], offset aAvp ; "avp"
.text:1000511F                mov    dword ptr [ebp-10Ch], offset aSafeboxtray ; "safeboxTray"
.text:10005129                mov    dword ptr [ebp-108h], offset a360safebox ; "360Safebox"
……
.text:10005341                mov    dword ptr [ebp-10h], offset aRegguide ; "RegGuide"
.text:10005348                mov    dword ptr [ebp-0Ch], offset aMpsvc2 ; "MPSVC2"
.text:1000534F                mov    dword ptr [ebp-8], offset aMpmon ; "MPMon"

cmd /c sc config avp start= disabled

对这些文件还没有深入去看肯定要有对注册表的操作太困了睡醒了继续分析下

附件是脱壳后的文件以及病毒释放/生成的文件不贴分析代码了总是那几个函数没啥意思

PS: 终于换回键盘来了还是X构架的比较爽 O(∩_∩)O哈哈~

一款杀毒软件首先是要分析并拦截病毒并且要在中毒的PC上剿灭病毒但光这些是不够的有一些一朋友的PC中毒了然后安装了NOD 结果系统的dll都被感染了若清理掉这些DLL 无疑系统将崩溃若不清理都已经感染 ……

杀软杀掉病毒不是目的目的是为用户提供一个安全稳定的系统环境所以我觉得杀软不仅要提供杀毒机制还应该为用户提供一套恢复机制——修复被病毒感染的PC 所以分析病毒是第一步  提出杀灭病毒的方法的第二步  提供修复被感染系统为第三步

登录后可查看完整内容

[培训]科锐逆向工程师培训第53期2025年7月8日开班！

上传的附件：

XXXX.rar （74.68kb，50次下载）

收藏・2

免费・7

支持

最新回复 (19)
frozenrain 雪币： 107 活跃值： (2222) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 517 粉丝 1 关注私信	frozenrain 2 楼 GOOD JOB 还有邪恶的驱动 2009-4-28 08:11 0
JJJC 雪币： 141 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 310 粉丝 0 关注私信	JJJC 3 楼 1:66cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4f1&6i4K6u0W2k6h3b7K6N6q4)9J5k6h3y4G2L8g2)9J5c8Y4y4T1i4K6u0r3x3o6q4Q4x3V1k6G2K9#2)9J5k6h3g2^5k6b7`.`. 1:c8aK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4f1I4i4K6u0W2k6h3b7K6N6q4)9J5k6h3y4G2L8g2)9J5c8X3I4S2i4K6u0r3e0o6q4Q4x3X3g2W2P5r3f1`. 1:01cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4f1I4i4K6u0W2k6h3b7K6N6q4)9J5k6h3y4G2L8g2)9J5c8X3I4S2i4K6u0r3e0o6y4Q4x3X3g2W2P5r3f1`. …… 1:d0cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4f1&6i4K6u0W2k6h3b7K6N6q4)9J5k6h3y4G2L8g2)9J5c8X3y4B7i4K6u0r3j5e0S2Q4x3X3g2W2P5r3f1`. 1:7aaK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4f1&6i4K6u0W2k6h3b7K6N6q4)9J5k6h3y4G2L8g2)9J5c8X3y4B7i4K6u0r3j5%4y4B7i4K6u0W2k6i4S2W2 1:effK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4f1&6i4K6u0W2k6h3b7K6N6q4)9J5k6h3y4G2L8g2)9J5c8X3y4B7i4K6u0r3M7$3u0Q4x3X3g2W2P5r3f1`. 也都是病毒^ 2009-4-28 12:33 0
dayang 雪币： 220 活跃值： (886) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 942 粉丝 1 关注私信	dayang 4 楼 lz说的应该是卡饭论坛吧，挂了好几天了！ "MPSVC2" .text:1000534F mov dword ptr [ebp-8], offset aMpmon ; "MPMon" 能干掉微点？ 2009-4-28 13:06 0
Osris 雪币： 189 活跃值： (56) 能力值： ( LV6，RANK：90 ) 在线值：发帖 23 回帖 128 粉丝 0 关注私信	Osris 2 5 楼打算干掉杀毒软件的病毒,不是好病毒 2009-4-28 20:59 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 6 楼 [QUOTE=dayang;613214]lz说的应该是卡饭论坛吧，挂了好几天了！ "MPSVC2" .text:1000534F mov dword ptr [ebp-8], offset aMpmon ; "MPMon" 能干掉微点？[/QUOTE] 卡飯與霏凡被掛，只相隔一天而已。。。 2009-4-29 00:47 0
我是土匪雪币： 496 活跃值： (2158) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 9 关注私信	我是土匪 4 7 楼唉，现在叫个病毒的，都搞驱动。看来驱动编程不得不学了。 2009-4-29 01:01 0
cfz 雪币： 605 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 72 粉丝 0 关注私信	cfz 8 楼在危险了现在，，进来学习了，谢谢分享 2009-4-29 07:17 0
zhgwldf 雪币： 233 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	zhgwldf 9 楼羡慕LZ的能力. 俺只能看看了. 2009-4-29 10:57 0
linxinsnow 雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 35 粉丝 0 关注私信	linxinsnow 10 楼不知道挂马用的是什么漏洞 2009-4-29 11:38 0
hqsfang 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	hqsfang 11 楼太强了,学习 2009-4-29 15:09 0
sudami 雪币： 709 活跃值： (2590) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 68 关注私信	sudami 25 12 楼 210Kx 2009-4-29 15:20 0
jinxyye 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	jinxyye 13 楼精辟我只是一个初学者慢慢看 2009-4-29 15:42 0
选择坚强雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	选择坚强 14 楼偶在理解,坚持学习 2009-4-29 16:19 0
jhtcgao 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	jhtcgao 15 楼还是200KX呀 2009-4-29 16:35 0
liangdong 雪币： 1407 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 228 粉丝 0 关注私信	liangdong 16 楼学习一下对dll文件还分析不清 2009-4-30 11:49 0
hackroad 雪币： 5463 活跃值： (4679) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 79 粉丝 0 关注私信	hackroad 17 楼都是流量肉鸡惹的祸 2009-4-30 18:04 0
liangwj 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 44 粉丝 0 关注私信	liangwj 18 楼 LZ:pyg? 嘿嘿 2009-5-3 00:30 0
lartely 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	lartely 19 楼的确呀，我也考虑学习驱动中。 2009-5-3 18:22 0
freezgw 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	freezgw 20 楼我学习，谢谢诶、 2009-5-4 15:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

Nisy

发帖

668

回帖

250

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (19)
frozenrain 雪币： 107 活跃值： (2222) 能力值： ( LV6，RANK：80 ) 在线值：发帖 26 回帖 517 粉丝 1 关注私信	frozenrain 2 楼 GOOD JOB 还有邪恶的驱动 2009-4-28 08:11 0
JJJC 雪币： 141 活跃值： (80) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 310 粉丝 0 关注私信	JJJC 3 楼 1:66cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4f1&6i4K6u0W2k6h3b7K6N6q4)9J5k6h3y4G2L8g2)9J5c8Y4y4T1i4K6u0r3x3o6q4Q4x3V1k6G2K9#2)9J5k6h3g2^5k6b7`.`. 1:c8aK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4f1I4i4K6u0W2k6h3b7K6N6q4)9J5k6h3y4G2L8g2)9J5c8X3I4S2i4K6u0r3e0o6q4Q4x3X3g2W2P5r3f1`. 1:01cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4f1I4i4K6u0W2k6h3b7K6N6q4)9J5k6h3y4G2L8g2)9J5c8X3I4S2i4K6u0r3e0o6y4Q4x3X3g2W2P5r3f1`. …… 1:d0cK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4f1&6i4K6u0W2k6h3b7K6N6q4)9J5k6h3y4G2L8g2)9J5c8X3y4B7i4K6u0r3j5e0S2Q4x3X3g2W2P5r3f1`. 1:7aaK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4f1&6i4K6u0W2k6h3b7K6N6q4)9J5k6h3y4G2L8g2)9J5c8X3y4B7i4K6u0r3j5%4y4B7i4K6u0W2k6i4S2W2 1:effK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8Y4f1&6i4K6u0W2k6h3b7K6N6q4)9J5k6h3y4G2L8g2)9J5c8X3y4B7i4K6u0r3M7$3u0Q4x3X3g2W2P5r3f1`. 也都是病毒^ 2009-4-28 12:33 0
dayang 雪币： 220 活跃值： (886) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 942 粉丝 1 关注私信	dayang 4 楼 lz说的应该是卡饭论坛吧，挂了好几天了！ "MPSVC2" .text:1000534F mov dword ptr [ebp-8], offset aMpmon ; "MPMon" 能干掉微点？ 2009-4-28 13:06 0
Osris 雪币： 189 活跃值： (56) 能力值： ( LV6，RANK：90 ) 在线值：发帖 23 回帖 128 粉丝 0 关注私信	Osris 2 5 楼打算干掉杀毒软件的病毒,不是好病毒 2009-4-28 20:59 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 6 楼 [QUOTE=dayang;613214]lz说的应该是卡饭论坛吧，挂了好几天了！ "MPSVC2" .text:1000534F mov dword ptr [ebp-8], offset aMpmon ; "MPMon" 能干掉微点？[/QUOTE] 卡飯與霏凡被掛，只相隔一天而已。。。 2009-4-29 00:47 0
我是土匪雪币： 496 活跃值： (2158) 能力值： ( LV12，RANK：210 ) 在线值：发帖 75 回帖 787 粉丝 9 关注私信	我是土匪 4 7 楼唉，现在叫个病毒的，都搞驱动。看来驱动编程不得不学了。 2009-4-29 01:01 0
cfz 雪币： 605 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 72 粉丝 0 关注私信	cfz 8 楼在危险了现在，，进来学习了，谢谢分享 2009-4-29 07:17 0
zhgwldf 雪币： 233 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 29 粉丝 0 关注私信	zhgwldf 9 楼羡慕LZ的能力. 俺只能看看了. 2009-4-29 10:57 0
linxinsnow 雪币： 234 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 35 粉丝 0 关注私信	linxinsnow 10 楼不知道挂马用的是什么漏洞 2009-4-29 11:38 0
hqsfang 雪币： 205 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 24 粉丝 0 关注私信	hqsfang 11 楼太强了,学习 2009-4-29 15:09 0
sudami 雪币： 709 活跃值： (2590) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 68 关注私信	sudami 25 12 楼 210Kx 2009-4-29 15:20 0
jinxyye 雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	jinxyye 13 楼精辟我只是一个初学者慢慢看 2009-4-29 15:42 0
选择坚强雪币： 0 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 25 粉丝 0 关注私信	选择坚强 14 楼偶在理解,坚持学习 2009-4-29 16:19 0
jhtcgao 雪币： 203 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	jhtcgao 15 楼还是200KX呀 2009-4-29 16:35 0
liangdong 雪币： 1407 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 228 粉丝 0 关注私信	liangdong 16 楼学习一下对dll文件还分析不清 2009-4-30 11:49 0
hackroad 雪币： 5463 活跃值： (4679) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 79 粉丝 0 关注私信	hackroad 17 楼都是流量肉鸡惹的祸 2009-4-30 18:04 0
liangwj 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 44 粉丝 0 关注私信	liangwj 18 楼 LZ:pyg? 嘿嘿 2009-5-3 00:30 0
lartely 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 20 粉丝 0 关注私信	lartely 19 楼的确呀，我也考虑学习驱动中。 2009-5-3 18:22 0
freezgw 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 2 粉丝 0 关注私信	freezgw 20 楼我学习，谢谢诶、 2009-5-4 15:31 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复