首页
社区
课程
招聘
[原创]昨日的病毒简单分析了下[附Bin样本]
发表于: 2011-4-12 17:50 13124

[原创]昨日的病毒简单分析了下[附Bin样本]

2011-4-12 17:50
13124

由于里面的文件比较多,我只大概分析了一下,错误之处大家分析后指出来!
我也不知道怎么感染这病毒的,幸好我电脑没联网,要不然!里面涉及技术比较多
大家可以慢慢挖出来!注意:样本是我电脑上直接拷贝过来的!不知道是不是可以感染
正题开始!
病毒名字好像叫:红蜘蛛

是拼音

病毒的工作模式:

向spoolsv.exe注入4个DLL,这4个DLL里面我只看了两个,它们都是分工明确,WinIO负责安装驱动和服务以及卸载驱动,其他3个都负责HOOK消息和在C盘创建2文本文件,记录下我们的键盘操作,里面的那个驱动负责干扰杀毒和杀毒辅助工具,还有每个进程启动后就注入ZkeyHOOK。Dll这个里面昨天我看了下,好像是设置WH_GETMESSAGE和WH_CALLWNDPROC HOOK,然后向C盘的Debug。Txt写入键盘的操作,大家看下这是我用冰刃拷贝debug.txt里面复制出来的:

A:(Program Manager)exesys

(查找十六进制数值)49006f1.exe

(1.txt - 记事本)

ctfmon.exe注入zkeyhook到进程,以便执行消息HOOK

sstddttddt HOOK这些函数

(OllyDbg - rellatsnI metsyS.dll - [CPU -  主线程, 模块 - rellatsn])

--------------------------------------------------------------------------------

(Program Manager)ini1

(key.txt - 记事本)zzzxzxcz

(OllyDbg - WinIo.dll - [CPU -  主线程, 模块 - WinIo])

--------------------------------------------------------------------------------

--------------------------------------------------------------------------------

(新建 Microsoft Word 文档.doc - Microsoft Word)使用CracketeateFile创建服务通信符号和驱动,然后在InstallInstallWinioIoDriver调用初始化创建服务,InstallEWinIoDriver里面删除服务WinIo,先iiii<<<《,Install,WinIoDriverL里面先删除原来开的服务WinIo在创建服务。

(OllyDbg - hkey.dll - [CPU -  主线程, 模块 - hkey])

jut具体的大家自己看样本文件包里面,样本我估计上面还留言了个网站还有每个进程驱动启动后就注入ZkeyHOOK。dll这个里面昨天我看了下,好像是设置HOOK和和HOOK ,在然后向C盘的DEebug。txt写入操作,

Dhook这个DLL里面是对自己些那些SYS以及DLL以及VXD进行操作,好像里面有点复杂,具体自己分析。

hKey面是对C盘的Key.txt进行操作,在C盘创建Key.Txt,至于把在C盘创建的文件隐藏嘛,用了RING3下的SetFileAttributes函数,用法如下:

SetFileAttributes("C://key.TXT",FILE_ATTRIBUTE_HIDDEN);

还有C盘的boot。Ini也被替换了。每次重新启动C盘的文件重新记录!还有打开冰刃提示内核模块ntrnlpa.exe被修改了!

总之里面有好多好东西,大家需要什么可以从里面直接拿过来,随便在说几句:这病毒作者太狂了,一点保护技术都不用,这是病毒上面留下的网站:http://www.internals.com,大家可以把这个病毒慢慢分析哈!来段汇编代码:

00882B00  |. /8E2B8800      DD hkey.00882B8E
00882B04  |> |8D45 FC       LEA EAX,DWORD PTR SS:[EBP-4]             ;  Case 30 ('0') of switch 00882AB5
00882B07  |. |BA 282F8800   MOV EDX,hkey.00882F28                    ;  0
00882B0C  |. |E8 CF0FFFFF   CALL hkey.00873AE0
00882B11  |. |E9 85000000   JMP hkey.00882B9B
00882B16  |> |8D45 FC       LEA EAX,DWORD PTR SS:[EBP-4]             ;  Case 31 ('1') of switch 00882AB5
00882B19  |. |BA 342F8800   MOV EDX,hkey.00882F34                    ;  1
00882B1E  |. |E8 BD0FFFFF   CALL hkey.00873AE0
00882B23  |. |EB 76         JMP SHORT hkey.00882B9B
00882B25  |> |8D45 FC       LEA EAX,DWORD PTR SS:[EBP-4]             ;  Case 32 ('2') of switch 00882AB5
00882B28  |. |BA 402F8800   MOV EDX,hkey.00882F40                    ;  2
00882B2D  |. |E8 AE0FFFFF   CALL hkey.00873AE0
00882B32  |. |EB 67         JMP SHORT hkey.00882B9B
00882B34  |> |8D45 FC       LEA EAX,DWORD PTR SS:[EBP-4]             ;  Case 33 ('3') of switch 00882AB5
00882B37  |. |BA 4C2F8800   MOV EDX,hkey.00882F4C                    ;  3
00882B3C  |. |E8 9F0FFFFF   CALL hkey.00873AE0
00882B41  |. |EB 58         JMP SHORT hkey.00882B9B
00882B43  |> |8D45 FC       LEA EAX,DWORD PTR SS:[EBP-4]             ;  Case 34 ('4') of switch 00882AB5
00882B46  |. |BA 582F8800   MOV EDX,hkey.00882F58                    ;  4
00882B4B  |. |E8 900FFFFF   CALL hkey.00873AE0
00882B50  |. |EB 49         JMP SHORT hkey.00882B9B
专杀编写思路:
判断System32里面是否有这几个文件,有的话证明中了这病毒!然后扫描进程模块,发现这几个DLL就强行释放,之后删除C盘里面的文件!再删除System32下的这几个文件!

当然这只是一个思路,因为我电脑没联网!所以没有必要编写专杀了!

手动杀毒:

使用冰刃查看spoolsv。Exe进程里面的模块然后释放,之后删除System32下的文件,然后在打开xuetr,查看HOOK,直接恢复。不全部用xuetr是因为xuetr被干扰了,冰刃打开不能关闭,关闭就蓝屏!

不知道他那个干扰xuetr怎么做到的,大家拿去慢慢分析哈,我能做的只有这么多了!等待牛人详细分析。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 7
支持
分享
最新回复 (15)
雪    币: 1149
活跃值: (888)
能力值: ( LV13,RANK:260 )
在线值:
发帖
回帖
粉丝
2
不够详细啊,邓韬,继续=详细分析
2011-4-12 18:19
0
雪    币: 278
活跃值: (709)
能力值: ( LV15,RANK:520 )
在线值:
发帖
回帖
粉丝
3
在详细没意思了啊!没有强大的诱惑,哪来激情的动力
2011-4-12 21:47
0
雪    币: 306
活跃值: (153)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
4
列一下大概都有些啥功能
2011-4-13 13:01
0
雪    币: 149
活跃值: (171)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
5
病毒的目的是什么。。
2011-4-13 15:36
0
雪    币: 278
活跃值: (709)
能力值: ( LV15,RANK:520 )
在线值:
发帖
回帖
粉丝
6
注入DLL到系统进程,键盘监视,文件隐藏!大家需要上面功能自己直接看不就完了!非要我每个功能都给大家弄出来!自己动手看下里面有什么功能不就完了
2011-4-13 18:29
0
雪    币: 220
活跃值: (726)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
可以告诉你他的文件是利用现成的,不是自己写的!你不知道那个站呀?
2011-4-13 21:22
0
雪    币: 243
活跃值: (40)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
本想看看有没有好的启动方式可以利用,哪知道是CreateService的方式,主动是他的死敌,本来看到有image_tls_callback以为会有什么好的怪招,哪知道也不是

最后用bat文件来把文件放到system32下面,为什么不MoveFile,其实MoveFile就可以拉,如果在bat加入自删除就不多余了,运行的服务还强行占坑,文件独占。
2011-4-14 11:39
0
雪    币: 278
活跃值: (709)
能力值: ( LV15,RANK:520 )
在线值:
发帖
回帖
粉丝
9
我分析的时候没杀毒!没连网,就单机分析的
2011-4-14 12:33
0
雪    币: 222
活跃值: (478)
能力值: ( LV11,RANK:188 )
在线值:
发帖
回帖
粉丝
10
支持伟大的邓韬 ,这个样本用的winio很不错
2011-4-15 00:03
0
雪    币: 278
活跃值: (709)
能力值: ( LV15,RANK:520 )
在线值:
发帖
回帖
粉丝
11
上面那网站是WinIo的源代码,看了下
2011-4-15 12:32
0
雪    币: 17
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
不够详细啊,邓韬,继续=详细分析
2011-4-19 09:03
0
雪    币: 278
活跃值: (709)
能力值: ( LV15,RANK:520 )
在线值:
发帖
回帖
粉丝
13
ycmnt的马甲,我哥怎么没告诉我他有这个号码啊
2011-4-19 12:14
0
雪    币: 112
活跃值: (14)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
楼主好像是杀毒软件公司工作的
2011-4-19 17:21
0
雪    币: 278
活跃值: (709)
能力值: ( LV15,RANK:520 )
在线值:
发帖
回帖
粉丝
15
我在家闭关修炼
2011-4-20 12:32
0
雪    币: 212
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
留名 收藏 学习!
2011-8-16 17:02
0
游客
登录 | 注册 方可回帖
返回
//