首页
社区
课程
招聘
一个干掉杀软的木马。
发表于: 2010-8-13 22:19 8996

一个干掉杀软的木马。

2010-8-13 22:19
8996
今天接到一个东莞的所谓S4加密的软件,嘿嘿,主程序加了壳,没太在意,卡巴也没报毒,运行后,发现任务栏卡巴图标不见了,AVP.exe被改为无后缀的隐藏文件,并被一个4M的无壳文件代替,现将此无壳文件上传给高手分析一下(压缩后只有65K)。

我还未找到毒源,只是还原了一下系统。360和NOD32都未对此文件报毒

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 0
支持
分享
最新回复 (20)
雪    币: 220
活跃值: (721)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
运行了下,无反映
2010-8-14 00:28
0
雪    币: 201
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
00401000               $  55            push    ebp                                  ;  模块入口
00401001               .  8BEC          mov     ebp, esp
00401003               .  6A FF         push    -1
00401005               .  68 2BC64100   push    0041C62B                             ;  SE handler installation
0040100A               .  64:A1 0000000>mov     eax, dword ptr fs:[0]
00401010               .  50            push    eax
00401011               .  64:8925 00000>mov     dword ptr fs:[0], esp
00401018               .  83EC 54       sub     esp, 54
0040101B               .  53            push    ebx
0040101C               .  56            push    esi
0040101D               .  8D45 14       lea     eax, dword ptr [ebp+14]
00401020               .  57            push    edi
00401021               .  85C0          test    eax, eax
00401023               .  8965 F0       mov     dword ptr [ebp-10], esp
00401026               .  0F85 47010000 jnz     00401173                             ;  eax=lea eax, dword ptr [ebp+14] 不可能为0 所以这里是jmp

00401173               > \8B15 D0434200 mov     edx, dword ptr [4243D0]
00401179               .  C745 FC 00000>mov     dword ptr [ebp-4], 0
00401180               .  FF92 8C000000 call    dword ptr [edx+8C]                   ;  这里的 变量 4243d0 还没有赋值 为0,所以产生异常
00401186               .  E9 13030000   jmp     0040149E                             ;  而这里的SEH VC程序自动注册的
0040118B               .  B8 91114000   mov     eax, 00401191                        ;  系统SEH处理完之后,直接到了这里退出,所以些程序什么也没做
00401190               .  C3            retn
2010-8-14 00:55
0
雪    币: 201
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
可能控制他启动的程序给 [4243D0] 里赋了值

使得 call    dword ptr [edx+8C]  生效
2010-8-14 01:04
0
雪    币: 73
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
解压之后的大小很恐怖。
2010-8-14 09:03
0
雪    币: 998
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
mse直接报毒。
2010-8-14 12:47
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
7
网络神偷+exebinder
2010-8-14 18:14
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
8
这个是被感染的文件,本体在%windir%\csrss.exe,udp连到nettheif.net注册的一个伪dns网站上。
2010-8-14 18:23
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
9
装了个mse也只能识别为Unruy,没有恢复能力
2010-8-14 18:58
0
雪    币: 229
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
谢谢版主。MSE对通过正版验证的 Windows 电脑专享提供,可以免费终身使用 :(
2010-8-14 19:32
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
11
网上找了个vbs运行了一下就变正版了
2010-8-14 19:38
0
雪    币: 229
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
正如版主所说,MSE只能杀被感染文件,本体是杀不掉的
2010-8-15 00:24
0
雪    币: 2993
活跃值: (25)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
13
试了一下,瑞星+360的环境下杀软没叫唤。。。貌似国产杀软病毒库都没这个特征码,安博、卡巴、江民、赛门铁克、趋势、麦咖啡、金山傻帽都没报警,但是捷克小A报警了。。。国产杀软不能这么睢吧?
2010-8-15 01:03
0
雪    币: 478
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
路过。学习!
2010-8-15 07:24
0
雪    币: 411
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
呵呵,我也来测试一下。
2010-8-15 07:33
0
雪    币: 109
活跃值: (21)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
卡巴斯基直接报毒,无法下载
2010-8-15 10:38
0
雪    币: 74
活跃值: (27)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
17
看个热闹,回去学习一下
2010-8-15 12:51
0
雪    币: 229
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
我的卡巴全功能2010没有报
2010-8-15 18:48
0
雪    币: 478
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
再来了。我。重新看了一遍帖子。
2010-8-16 00:18
0
雪    币: 325
活跃值: (97)
能力值: ( LV13,RANK:530 )
在线值:
发帖
回帖
粉丝
20
没研究下vista以后版本的License 机制?微软自己动用混淆引擎恐怕在这类大公司还是第一次,从未看人有人讨论。
2010-8-16 17:54
0
雪    币: 6075
活跃值: (2236)
能力值: (RANK:1060 )
在线值:
发帖
回帖
粉丝
21
等vs2012
2010-8-16 21:40
0
游客
登录 | 注册 方可回帖
返回
//