一个干掉杀软的木马。-软件逆向-看雪-安全社区|安全招聘|kanxue.com

一个干掉杀软的木马。

发表于: 2010-8-13 22:19 8996

一个干掉杀软的木马。

不古龙

2010-8-13 22:19

8996

今天接到一个东莞的所谓S4加密的软件，嘿嘿，主程序加了壳，没太在意，卡巴也没报毒，运行后，发现任务栏卡巴图标不见了，AVP.exe被改为无后缀的隐藏文件，并被一个4M的无壳文件代替，现将此无壳文件上传给高手分析一下（压缩后只有65K）。

我还未找到毒源，只是还原了一下系统。360和NOD32都未对此文件报毒

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

avp.rar （65.01kb，75次下载）

收藏・1

免费・0

支持

最新回复 (20)
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 2 楼运行了下，无反映 2010-8-14 00:28 0
酷酷雪币： 201 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 322 粉丝 0 关注私信	酷酷 3 楼 00401000 $ 55 push ebp ; 模块入口 00401001 . 8BEC mov ebp, esp 00401003 . 6A FF push -1 00401005 . 68 2BC64100 push 0041C62B ; SE handler installation 0040100A . 64:A1 0000000>mov eax, dword ptr fs:[0] 00401010 . 50 push eax 00401011 . 64:8925 00000>mov dword ptr fs:[0], esp 00401018 . 83EC 54 sub esp, 54 0040101B . 53 push ebx 0040101C . 56 push esi 0040101D . 8D45 14 lea eax, dword ptr [ebp+14] 00401020 . 57 push edi 00401021 . 85C0 test eax, eax 00401023 . 8965 F0 mov dword ptr [ebp-10], esp 00401026 . 0F85 47010000 jnz 00401173 ; eax=lea eax, dword ptr [ebp+14] 不可能为0 所以这里是jmp 00401173 > \8B15 D0434200 mov edx, dword ptr [4243D0] 00401179 . C745 FC 00000>mov dword ptr [ebp-4], 0 00401180 . FF92 8C000000 call dword ptr [edx+8C] ; 这里的变量 4243d0 还没有赋值为0，所以产生异常 00401186 . E9 13030000 jmp 0040149E ; 而这里的SEH VC程序自动注册的 0040118B . B8 91114000 mov eax, 00401191 ; 系统SEH处理完之后，直接到了这里退出，所以些程序什么也没做 00401190 . C3 retn 2010-8-14 00:55 0
酷酷雪币： 201 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 322 粉丝 0 关注私信	酷酷 4 楼可能控制他启动的程序给 [4243D0] 里赋了值使得 call dword ptr [edx+8C] 生效 2010-8-14 01:04 0
私仇之路雪币： 73 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 346 粉丝 0 关注私信	私仇之路 5 楼解压之后的大小很恐怖。 2010-8-14 09:03 0
programfan 雪币： 998 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 215 粉丝 0 关注私信	programfan 6 楼 mse直接报毒。 2010-8-14 12:47 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 7 楼网络神偷+exebinder 2010-8-14 18:14 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 8 楼这个是被感染的文件，本体在%windir%\csrss.exe，udp连到nettheif.net注册的一个伪dns网站上。 2010-8-14 18:23 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 9 楼装了个mse也只能识别为Unruy，没有恢复能力 2010-8-14 18:58 0
不古龙雪币： 229 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 161 粉丝 1 关注私信	不古龙 10 楼谢谢版主。MSE对通过正版验证的 Windows 电脑专享提供，可以免费终身使用 :( 2010-8-14 19:32 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 11 楼网上找了个vbs运行了一下就变正版了 2010-8-14 19:38 0
不古龙雪币： 229 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 161 粉丝 1 关注私信	不古龙 12 楼正如版主所说，MSE只能杀被感染文件，本体是杀不掉的 2010-8-15 00:24 0
天命小三雪币： 2993 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 183 粉丝 0 关注私信	天命小三 1 13 楼试了一下，瑞星+360的环境下杀软没叫唤。。。貌似国产杀软病毒库都没这个特征码，安博、卡巴、江民、赛门铁克、趋势、麦咖啡、金山傻帽都没报警，但是捷克小A报警了。。。国产杀软不能这么睢吧？ 2010-8-15 01:03 0
flyingayi 雪币： 478 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 178 粉丝 0 关注私信	flyingayi 14 楼路过。学习！ 2010-8-15 07:24 0
sadamu 雪币： 411 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 120 粉丝 0 关注私信	sadamu 15 楼呵呵，我也来测试一下。 2010-8-15 07:33 0
lxiangyong 雪币： 109 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	lxiangyong 16 楼卡巴斯基直接报毒，无法下载 2010-8-15 10:38 0
bluehook 雪币： 74 活跃值： (27) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	bluehook 1 17 楼看个热闹，回去学习一下 2010-8-15 12:51 0
不古龙雪币： 229 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 161 粉丝 1 关注私信	不古龙 18 楼我的卡巴全功能2010没有报 2010-8-15 18:48 0
flyingayi 雪币： 478 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 178 粉丝 0 关注私信	flyingayi 19 楼再来了。我。重新看了一遍帖子。 2010-8-16 00:18 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 20 楼没研究下vista以后版本的License 机制？微软自己动用混淆引擎恐怕在这类大公司还是第一次，从未看人有人讨论。 2010-8-16 17:54 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 21 楼等vs2012 2010-8-16 21:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

不古龙

发帖

161

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (20)
dayang 雪币： 220 活跃值： (721) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 2 楼运行了下，无反映 2010-8-14 00:28 0
酷酷雪币： 201 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 322 粉丝 0 关注私信	酷酷 3 楼 00401000 $ 55 push ebp ; 模块入口 00401001 . 8BEC mov ebp, esp 00401003 . 6A FF push -1 00401005 . 68 2BC64100 push 0041C62B ; SE handler installation 0040100A . 64:A1 0000000>mov eax, dword ptr fs:[0] 00401010 . 50 push eax 00401011 . 64:8925 00000>mov dword ptr fs:[0], esp 00401018 . 83EC 54 sub esp, 54 0040101B . 53 push ebx 0040101C . 56 push esi 0040101D . 8D45 14 lea eax, dword ptr [ebp+14] 00401020 . 57 push edi 00401021 . 85C0 test eax, eax 00401023 . 8965 F0 mov dword ptr [ebp-10], esp 00401026 . 0F85 47010000 jnz 00401173 ; eax=lea eax, dword ptr [ebp+14] 不可能为0 所以这里是jmp 00401173 > \8B15 D0434200 mov edx, dword ptr [4243D0] 00401179 . C745 FC 00000>mov dword ptr [ebp-4], 0 00401180 . FF92 8C000000 call dword ptr [edx+8C] ; 这里的变量 4243d0 还没有赋值为0，所以产生异常 00401186 . E9 13030000 jmp 0040149E ; 而这里的SEH VC程序自动注册的 0040118B . B8 91114000 mov eax, 00401191 ; 系统SEH处理完之后，直接到了这里退出，所以些程序什么也没做 00401190 . C3 retn 2010-8-14 00:55 0
酷酷雪币： 201 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 33 回帖 322 粉丝 0 关注私信	酷酷 4 楼可能控制他启动的程序给 [4243D0] 里赋了值使得 call dword ptr [edx+8C] 生效 2010-8-14 01:04 0
私仇之路雪币： 73 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 346 粉丝 0 关注私信	私仇之路 5 楼解压之后的大小很恐怖。 2010-8-14 09:03 0
programfan 雪币： 998 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 215 粉丝 0 关注私信	programfan 6 楼 mse直接报毒。 2010-8-14 12:47 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 7 楼网络神偷+exebinder 2010-8-14 18:14 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 8 楼这个是被感染的文件，本体在%windir%\csrss.exe，udp连到nettheif.net注册的一个伪dns网站上。 2010-8-14 18:23 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 9 楼装了个mse也只能识别为Unruy，没有恢复能力 2010-8-14 18:58 0
不古龙雪币： 229 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 161 粉丝 1 关注私信	不古龙 10 楼谢谢版主。MSE对通过正版验证的 Windows 电脑专享提供，可以免费终身使用 :( 2010-8-14 19:32 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 11 楼网上找了个vbs运行了一下就变正版了 2010-8-14 19:38 0
不古龙雪币： 229 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 161 粉丝 1 关注私信	不古龙 12 楼正如版主所说，MSE只能杀被感染文件，本体是杀不掉的 2010-8-15 00:24 0
天命小三雪币： 2993 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 10 回帖 183 粉丝 0 关注私信	天命小三 1 13 楼试了一下，瑞星+360的环境下杀软没叫唤。。。貌似国产杀软病毒库都没这个特征码，安博、卡巴、江民、赛门铁克、趋势、麦咖啡、金山傻帽都没报警，但是捷克小A报警了。。。国产杀软不能这么睢吧？ 2010-8-15 01:03 0
flyingayi 雪币： 478 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 178 粉丝 0 关注私信	flyingayi 14 楼路过。学习！ 2010-8-15 07:24 0
sadamu 雪币： 411 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 120 粉丝 0 关注私信	sadamu 15 楼呵呵，我也来测试一下。 2010-8-15 07:33 0
lxiangyong 雪币： 109 活跃值： (21) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	lxiangyong 16 楼卡巴斯基直接报毒，无法下载 2010-8-15 10:38 0
bluehook 雪币： 74 活跃值： (27) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 8 粉丝 0 关注私信	bluehook 1 17 楼看个热闹，回去学习一下 2010-8-15 12:51 0
不古龙雪币： 229 活跃值： (17) 能力值： ( LV2，RANK：10 ) 在线值：发帖 23 回帖 161 粉丝 1 关注私信	不古龙 18 楼我的卡巴全功能2010没有报 2010-8-15 18:48 0
flyingayi 雪币： 478 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 178 粉丝 0 关注私信	flyingayi 19 楼再来了。我。重新看了一遍帖子。 2010-8-16 00:18 0
foxabu 雪币： 325 活跃值： (97) 能力值： ( LV13，RANK：530 ) 在线值：发帖 55 回帖 1236 粉丝 5 关注私信	foxabu 13 20 楼没研究下vista以后版本的License 机制？微软自己动用混淆引擎恐怕在这类大公司还是第一次，从未看人有人讨论。 2010-8-16 17:54 0
forgot 雪币： 6075 活跃值： (2236) 能力值： (RANK：1060 ) 在线值：发帖 155 回帖 3771 粉丝 15 关注私信	forgot 26 21 楼等vs2012 2010-8-16 21:40 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复