[原创]昨日的病毒简单分析了下[附Bin样本]-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]昨日的病毒简单分析了下[附Bin样本]

发表于: 2011-4-12 17:50 13125

[原创]昨日的病毒简单分析了下[附Bin样本]

邓韬

2011-4-12 17:50

13125

由于里面的文件比较多，我只大概分析了一下，错误之处大家分析后指出来！
我也不知道怎么感染这病毒的，幸好我电脑没联网，要不然！里面涉及技术比较多
大家可以慢慢挖出来！注意：样本是我电脑上直接拷贝过来的！不知道是不是可以感染
正题开始！
病毒名字好像叫：红蜘蛛

是拼音

病毒的工作模式：

向spoolsv.exe注入4个DLL，这4个DLL里面我只看了两个，它们都是分工明确，WinIO负责安装驱动和服务以及卸载驱动，其他3个都负责HOOK消息和在C盘创建2文本文件，记录下我们的键盘操作，里面的那个驱动负责干扰杀毒和杀毒辅助工具，还有每个进程启动后就注入ZkeyHOOK。Dll这个里面昨天我看了下，好像是设置WH_GETMESSAGE和WH_CALLWNDPROC HOOK，然后向C盘的Debug。Txt写入键盘的操作，大家看下这是我用冰刃拷贝debug.txt里面复制出来的：

A：(Program Manager)exesys

(查找十六进制数值)49006f1.exe

(1.txt - 记事本)

ctfmon.exe注入zkeyhook到进程，以便执行消息HOOK

sstddttddt HOOK这些函数

(OllyDbg - rellatsnI metsyS.dll - [CPU -  主线程, 模块 - rellatsn])

--------------------------------------------------------------------------------

(Program Manager)ini1

(key.txt - 记事本)zzzxzxcz

(OllyDbg - WinIo.dll - [CPU -  主线程, 模块 - WinIo])

--------------------------------------------------------------------------------

--------------------------------------------------------------------------------

(新建 Microsoft Word 文档.doc - Microsoft Word)使用CracketeateFile创建服务通信符号和驱动，然后在InstallInstallWinioIoDriver调用初始化创建服务，InstallEWinIoDriver里面删除服务WinIo，先iiii<<<《,Install,WinIoDriverL里面先删除原来开的服务WinIo在创建服务。

(OllyDbg - hkey.dll - [CPU -  主线程, 模块 - hkey])

jut具体的大家自己看样本文件包里面，样本我估计上面还留言了个网站还有每个进程驱动启动后就注入ZkeyHOOK。dll这个里面昨天我看了下，好像是设置HOOK和和HOOK ，在然后向C盘的DEebug。txt写入操作，

Dhook这个DLL里面是对自己些那些SYS以及DLL以及VXD进行操作，好像里面有点复杂，具体自己分析。

hKey面是对C盘的Key.txt进行操作，在C盘创建Key.Txt，至于把在C盘创建的文件隐藏嘛，用了RING3下的SetFileAttributes函数，用法如下：

SetFileAttributes("C://key.TXT",FILE_ATTRIBUTE_HIDDEN);

还有C盘的boot。Ini也被替换了。每次重新启动C盘的文件重新记录！还有打开冰刃提示内核模块ntrnlpa.exe被修改了！

总之里面有好多好东西，大家需要什么可以从里面直接拿过来，随便在说几句：这病毒作者太狂了，一点保护技术都不用，这是病毒上面留下的网站：http://www.internals.com,大家可以把这个病毒慢慢分析哈！来段汇编代码：

00882B00  |. /8E2B8800    DD hkey.00882B8E
00882B04  |> |8D45 FC    LEA EAX,DWORD PTR SS:[EBP-4]          ;  Case 30 ('0') of switch 00882AB5
00882B07  |. |BA 282F8800 MOV EDX,hkey.00882F28                   ;  0
00882B0C  |. |E8 CF0FFFFF CALL hkey.00873AE0
00882B11  |. |E9 85000000 JMP hkey.00882B9B
00882B16  |> |8D45 FC    LEA EAX,DWORD PTR SS:[EBP-4]          ;  Case 31 ('1') of switch 00882AB5
00882B19  |. |BA 342F8800 MOV EDX,hkey.00882F34                   ;  1
00882B1E  |. |E8 BD0FFFFF CALL hkey.00873AE0
00882B23  |. |EB 76       JMP SHORT hkey.00882B9B
00882B25  |> |8D45 FC    LEA EAX,DWORD PTR SS:[EBP-4]          ;  Case 32 ('2') of switch 00882AB5
00882B28  |. |BA 402F8800 MOV EDX,hkey.00882F40                   ;  2
00882B2D  |. |E8 AE0FFFFF CALL hkey.00873AE0
00882B32  |. |EB 67       JMP SHORT hkey.00882B9B
00882B34  |> |8D45 FC    LEA EAX,DWORD PTR SS:[EBP-4]          ;  Case 33 ('3') of switch 00882AB5
00882B37  |. |BA 4C2F8800 MOV EDX,hkey.00882F4C                   ;  3
00882B3C  |. |E8 9F0FFFFF CALL hkey.00873AE0
00882B41  |. |EB 58       JMP SHORT hkey.00882B9B
00882B43  |> |8D45 FC    LEA EAX,DWORD PTR SS:[EBP-4]          ;  Case 34 ('4') of switch 00882AB5
00882B46  |. |BA 582F8800 MOV EDX,hkey.00882F58                   ;  4
00882B4B  |. |E8 900FFFFF CALL hkey.00873AE0
00882B50  |. |EB 49       JMP SHORT hkey.00882B9B
专杀编写思路：
判断System32里面是否有这几个文件，有的话证明中了这病毒！然后扫描进程模块，发现这几个DLL就强行释放，之后删除C盘里面的文件！再删除System32下的这几个文件！

当然这只是一个思路，因为我电脑没联网！所以没有必要编写专杀了！

手动杀毒：

使用冰刃查看spoolsv。Exe进程里面的模块然后释放，之后删除System32下的文件，然后在打开xuetr，查看HOOK，直接恢复。不全部用xuetr是因为xuetr被干扰了，冰刃打开不能关闭，关闭就蓝屏！

不知道他那个干扰xuetr怎么做到的，大家拿去慢慢分析哈，我能做的只有这么多了！等待牛人详细分析。

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

上传的附件：

1.jpg （96.78kb，1028次下载）
2.jpg （150.06kb，1030次下载）
样本.zip （0.99MB，99次下载）

收藏・10

免费・7

支持

最新回复 (15)
ycmint 雪币： 1149 活跃值： (888) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 2 楼不够详细啊，邓韬，继续=详细分析 2011-4-12 18:19 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 3 楼在详细没意思了啊！没有强大的诱惑，哪来激情的动力 2011-4-12 21:47 0
pyq逍遥雪币： 306 活跃值： (153) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 200 粉丝 5 关注私信	pyq逍遥 1 4 楼列一下大概都有些啥功能 2011-4-13 13:01 0
robey 雪币： 149 活跃值： (171) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 162 粉丝 1 关注私信	robey 1 5 楼病毒的目的是什么。。 2011-4-13 15:36 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 6 楼注入DLL到系统进程，键盘监视，文件隐藏！大家需要上面功能自己直接看不就完了！非要我每个功能都给大家弄出来！自己动手看下里面有什么功能不就完了 2011-4-13 18:29 0
dayang 雪币： 220 活跃值： (726) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 7 楼可以告诉你他的文件是利用现成的，不是自己写的！你不知道那个站呀？ 2011-4-13 21:22 0
woshixutao 雪币： 243 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 22 粉丝 0 关注私信	woshixutao 8 楼本想看看有没有好的启动方式可以利用，哪知道是CreateService的方式，主动是他的死敌，本来看到有image_tls_callback以为会有什么好的怪招，哪知道也不是最后用bat文件来把文件放到system32下面，为什么不MoveFile，其实MoveFile就可以拉，如果在bat加入自删除就不多余了，运行的服务还强行占坑，文件独占。 2011-4-14 11:39 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 9 楼我分析的时候没杀毒！没连网，就单机分析的 2011-4-14 12:33 0
XPoy 雪币： 222 活跃值： (478) 能力值： ( LV11，RANK：188 ) 在线值：发帖 26 回帖 280 粉丝 5 关注私信	XPoy 3 10 楼支持伟大的邓韬，这个样本用的winio很不错 2011-4-15 00:03 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 11 楼上面那网站是WinIo的源代码，看了下 2011-4-15 12:32 0
流星追月雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 37 粉丝 0 关注私信	流星追月 12 楼不够详细啊，邓韬，继续=详细分析 2011-4-19 09:03 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 13 楼 ycmnt的马甲，我哥怎么没告诉我他有这个号码啊 2011-4-19 12:14 0
zenzc 雪币： 112 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 102 粉丝 0 关注私信	zenzc 14 楼楼主好像是杀毒软件公司工作的 2011-4-19 17:21 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 15 楼我在家闭关修炼 2011-4-20 12:32 0
kisbuddy 雪币： 212 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 114 粉丝 0 关注私信	kisbuddy 16 楼留名收藏学习！ 2011-8-16 17:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

邓韬

265

发帖

1670

回帖

520

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (15)
ycmint 雪币： 1149 活跃值： (888) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 893 粉丝 10 关注私信	ycmint 5 2 楼不够详细啊，邓韬，继续=详细分析 2011-4-12 18:19 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 3 楼在详细没意思了啊！没有强大的诱惑，哪来激情的动力 2011-4-12 21:47 0
pyq逍遥雪币： 306 活跃值： (153) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 200 粉丝 5 关注私信	pyq逍遥 1 4 楼列一下大概都有些啥功能 2011-4-13 13:01 0
robey 雪币： 149 活跃值： (171) 能力值： ( LV5，RANK：60 ) 在线值：发帖 7 回帖 162 粉丝 1 关注私信	robey 1 5 楼病毒的目的是什么。。 2011-4-13 15:36 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 6 楼注入DLL到系统进程，键盘监视，文件隐藏！大家需要上面功能自己直接看不就完了！非要我每个功能都给大家弄出来！自己动手看下里面有什么功能不就完了 2011-4-13 18:29 0
dayang 雪币： 220 活跃值： (726) 能力值： ( LV2，RANK：10 ) 在线值：发帖 38 回帖 935 粉丝 1 关注私信	dayang 7 楼可以告诉你他的文件是利用现成的，不是自己写的！你不知道那个站呀？ 2011-4-13 21:22 0
woshixutao 雪币： 243 活跃值： (40) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 22 粉丝 0 关注私信	woshixutao 8 楼本想看看有没有好的启动方式可以利用，哪知道是CreateService的方式，主动是他的死敌，本来看到有image_tls_callback以为会有什么好的怪招，哪知道也不是最后用bat文件来把文件放到system32下面，为什么不MoveFile，其实MoveFile就可以拉，如果在bat加入自删除就不多余了，运行的服务还强行占坑，文件独占。 2011-4-14 11:39 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 9 楼我分析的时候没杀毒！没连网，就单机分析的 2011-4-14 12:33 0
XPoy 雪币： 222 活跃值： (478) 能力值： ( LV11，RANK：188 ) 在线值：发帖 26 回帖 280 粉丝 5 关注私信	XPoy 3 10 楼支持伟大的邓韬，这个样本用的winio很不错 2011-4-15 00:03 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 11 楼上面那网站是WinIo的源代码，看了下 2011-4-15 12:32 0
流星追月雪币： 17 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 37 粉丝 0 关注私信	流星追月 12 楼不够详细啊，邓韬，继续=详细分析 2011-4-19 09:03 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 13 楼 ycmnt的马甲，我哥怎么没告诉我他有这个号码啊 2011-4-19 12:14 0
zenzc 雪币： 112 活跃值： (14) 能力值： ( LV2，RANK：10 ) 在线值：发帖 12 回帖 102 粉丝 0 关注私信	zenzc 14 楼楼主好像是杀毒软件公司工作的 2011-4-19 17:21 0
邓韬雪币： 278 活跃值： (709) 能力值： ( LV15，RANK：520 ) 在线值：发帖 265 回帖 1670 粉丝 1 关注私信	邓韬 9 15 楼我在家闭关修炼 2011-4-20 12:32 0
kisbuddy 雪币： 212 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 114 粉丝 0 关注私信	kisbuddy 16 楼留名收藏学习！ 2011-8-16 17:02 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复