首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]10来K的一个病毒,大家有没人分析
发表于: 2009-6-10 17:18 6937

[求助]10来K的一个病毒,大家有没人分析

evilcode 活跃值
2009-6-10 17:18
6937
我宿舍的一个家伙上H站,提示要下载这个东西才能看,谁知道就中招了。

我下载看了下,NOD32也没报毒。

我并不是什么目的要干啥,只是感觉有点意思,大家如果有空的话看下。我发这个帖子的时候他还在重装,嘿嘿

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 0
支持
分享
最新回复 (14)
evilcode
雪    币: 254
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
啥结果??????//
2009-6-10 23:32
0
OildFish
雪    币: 48
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
54aK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8X3y4S2L8h3q4K6i4K6u0W2j5$3!0E0L8$3c8G2i4K6u0W2j5$3!0E0i4K6u0r3j5$3N6A6i4K6u0V1j5X3W2F1i4K6u0r3M7%4g2T1L8h3W2@1i4K6y4r3k6X3W2D9k6g2)9K6c8r3j5K6y4h3u0T1x3$3c8W2j5h3q4U0k6X3c8U0k6r3f1@1z5h3x3$3j5U0y4W2k6e0R3#2x3K6V1H3y4$3q4W2j5K6y4U0x3e0N6T1j5K6b7^5y4r3f1%4j5$3t1^5j5h3p5^5y4K6W2S2y4K6p5#2y4X3y4W2x3o6k6T1j5$3t1`.
2009-6-11 00:00
0
jasonzhou
雪    币: 213
活跃值: (147)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
一个普通的病毒
不知道10来K是意思
2009-6-11 09:58
0
lrcsoft
雪    币: 13
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
用剑盟的病毒分析工具
2009-6-11 10:22
0
jmpjerryy
雪    币: 339
活跃值: (29)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
6
大概看了下。
1 首先根据version 会把资源节里面的代码直接覆盖写到%system%目录下面的dll里面。在我这里这是appmgmts.dll. 为了防止av启发资源节里面并没有出去"MZ"之类的字段。也就是说是不是从文件的开头覆盖的。
2 appmgmts.dll做的一些破坏工作,包括antiav,比如360safe avp等等
还到tt.ee88567.cn上去下载一个叫ggb.txt
里面的内容是类似(为了安全,我用--代替了部分的字节)
0:hxxp://tj.114anhui.com/----/qqmo.exe|C:\uninstc.exe!
1:hxxp://tj.114anhui.com/--/exe/1.exe|C:\uninst1.exe!
1:hxxp://tj.114anhui.com/--/exe1/1.exe|C:\uninst2.exe!
2:hxxp://tj.114anhui.com/--/exe/2.exe|C:\uninst1.exe!
2009-6-11 11:17
0
hmilywen
雪    币: 1610
活跃值: (1049)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
看楼上的描述那应该就是NSDownLoader~
2009-6-11 11:33
0
houang
雪    币: 432
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
这么小啊  我研究研究
2009-6-11 11:33
0
异域幽灵
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
ESET NOD32 病毒库更新到4146可查杀=,=
2009-6-11 12:50
0
jmpjerryy
雪    币: 339
活跃值: (29)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
10
3.dll还放出个3k的驱动。在SSDT上面做了些文章
2009-6-11 12:50
0
徐大力
雪    币: 179
活跃值: (15)
能力值: ( LV12,RANK:330 )
在线值:
发帖
回帖
粉丝
私信
11
不止的   杀AV 也是靠驱动的
还有  去除系统文件保护  是靠调用SFC的 5号函数
DLL 创建3个线程  第1个杀AV  第2个 download
第3个映像劫持
驱动没仔细分析
2009-6-11 19:07
0
fygcaw
雪    币: 252
活跃值: (11)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
12
0040128E  |.  68 E8204000   push    004020E8                               ; /FileName = "ntdll.dll"
00401293  |.  FF15 40204000 call    dword ptr [<&KERNEL32.LoadLibraryA>]   ; \LoadLibraryA
00401299  |.  68 F4204000   push    004020F4                               ; /ProcNameOrOrdinal = "ZwWriteFile"
0040129E  |.  50            push    eax                                    ; |hModule
0040129F  |.  FF15 3C204000 call    dword ptr [<&KERNEL32.GetProcAddress>] ; \GetProcAddress
004012A5  |.  8B4D 08       mov     ecx, dword ptr [ebp+8]
004012A8  |.  56            push    esi
004012A9  |.  56            push    esi
004012AA  |.  83C1 C4       add     ecx, -3C
004012AD  |.  51            push    ecx
004012AE  |.  8B4D FC       mov     ecx, dword ptr [ebp-4]
004012B1  |.  83C1 3C       add     ecx, 3C
004012B4  |.  51            push    ecx
004012B5  |.  8D4D F0       lea     ecx, dword ptr [ebp-10]
004012B8  |.  51            push    ecx
004012B9  |.  56            push    esi
004012BA  |.  56            push    esi
004012BB  |.  56            push    esi
004012BC  |.  53            push    ebx
004012BD  |.  FFD0          call    eax

这时eax 为0,对应系统DLL的0x3C后没有被重写,是不是SFC的 5号函数没起作用?请大侠赐教!
2009-6-15 15:53
0
marshalx
雪    币: 340
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
ns驱动弄那么多不知道作者怎么想的......
2009-6-15 18:52
0
rsa
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
rsa
14
关注。过后看
2009-6-16 09:17
0
aeddy
雪    币: 201
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
15
我还没来得及看,就被杀掉了。汗一个…………
2009-6-16 09:18
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回