首页
社区
课程
招聘
[旧帖] [原创]雪花病毒分析报告 0.00雪花
发表于: 2011-5-21 22:16 12479

[旧帖] [原创]雪花病毒分析报告 0.00雪花

2011-5-21 22:16
12479
代码简单注释如下:
;time.ini的解码
00401926   > /8B4D E8               mov     ecx, dword ptr [ebp-18]
00401929   . |83C1 04               add     ecx, 4
0040192C   . |894D E8               mov     dword ptr [ebp-18], ecx
0040192F   > |8B55 E8               mov     edx, dword ptr [ebp-18]
00401932   . |3B55 E4               cmp     edx, dword ptr [ebp-1C]
00401935   . |7D 33                 jge     short 0040196A                                  ;  解密是否完成
00401937   . |8B45 08               mov     eax, dword ptr [ebp+8]
0040193A   . |0345 E8               add     eax, dword ptr [ebp-18]
0040193D   . |8B08                  mov     ecx, dword ptr [eax]
0040193F   . |894D EC               mov     dword ptr [ebp-14], ecx                         ;  获取加密数据
00401942   . |8B55 EC               mov     edx, dword ptr [ebp-14]
00401945   . |3355 F0               xor     edx, dword ptr [ebp-10]                         ;  用加密的数据和key1做xor
00401948   . |8955 EC               mov     dword ptr [ebp-14], edx
0040194B   . |8B45 EC               mov     eax, dword ptr [ebp-14]
0040194E   . |3345 F8               xor     eax, dword ptr [ebp-8]                          ;  用第一步的结果和key2做xor,key2来自time.ini+0处
00401951   . |8945 EC               mov     dword ptr [ebp-14], eax
00401954   . |8B4D F0               mov     ecx, dword ptr [ebp-10]
00401957   . |034D EC               add     ecx, dword ptr [ebp-14]                         ;  变换key1,用key1和解密数据做add
0040195A   . |894D F0               mov     dword ptr [ebp-10], ecx
0040195D   . |8B55 08               mov     edx, dword ptr [ebp+8]
00401960   . |0355 E8               add     edx, dword ptr [ebp-18]
00401963   . |8B45 EC               mov     eax, dword ptr [ebp-14]
00401966   . |8902                  mov     dword ptr [edx], eax                            ;  保存解密后的数据
00401968   .^\EB BC                 jmp     short 00401926
0040150A  |.  8B4D 08               mov     ecx, dword ptr [ebp+8]
0040150D  |.  8B11                  mov     edx, dword ptr [ecx]
0040150F  |.  8955 FC               mov     dword ptr [ebp-4], edx                          ;  offset 获取shellcode开始执行的偏移 在time.ini+0x8取
00401512  |.  8B45 08               mov     eax, dword ptr [ebp+8]
00401515  |.  83C0 04               add     eax, 4                                          ;  baseaddress 获取time.ini+c偏移在内存中的位置
00401518  |.  8945 F8               mov     dword ptr [ebp-8], eax
0040151B  |.  8B4D F8               mov     ecx, dword ptr [ebp-8]
0040151E  |.  034D FC               add     ecx, dword ptr [ebp-4]                          ;  shellOEP = baseaddress+offset 通过计算或得shellcode开始执行的位置
00401521  |.  0FBE11                movsx   edx, byte ptr [ecx]
00401524  |.  83FA 55               cmp     edx, 55                                         ;  通过特征码验证shellOEP是否正确
00401527  |.  0F85 94000000         jnz     004015C1
00C5036C    8038 CC                 cmp     byte ptr [eax], 0CC                             ; 当前获取函数是否被下断点
00C5036F    74 7F                   je      short 00C503F0
00C50371    48                      dec     eax                                             ; 获取的函数地质-1
00C50372    8038 90                 cmp     byte ptr [eax], 90                              ; 当前指向的位置是否为nop,如果不是还原地质
00C50375    74 01                   je      short 00C50378
00C50377    40                      inc     eax

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 7
支持
分享
最新回复 (82)
雪    币: 144
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
支持楼主,顶
2011-5-21 22:25
0
雪    币: 79
活跃值: (40)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
3
谢谢谢谢
忘了传附件了

2012桌面雪花.rar

解压密码:virus

上传的附件:
2011-5-21 22:28
0
雪    币: 177
活跃值: (471)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
这没搞完吧,里面还有东西,特别是explorer那shellcode
2011-5-21 22:34
0
雪    币: 177
活跃值: (471)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
内容摘要
本次分析的主要关注

囧,没注意这句话
分析的很好,特别是那排版,那 流程图很清晰很华丽
2011-5-21 22:37
0
雪    币: 79
活跃值: (40)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
6
是的..亲
其实是跑到哪里就报错了....没有继续跟
注入的shellcode其实就是time.ini解码后的内容(time.ini+0x1c)
手段貌似已经没啥新花样了
看他那几个没用的API主要负载貌似是个下载者
2011-5-21 22:37
0
雪    币: 576
活跃值: (1163)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
7
楼主的ID是不是想取 wParam啊,呵呵
2011-5-21 22:47
0
雪    币: 79
活跃值: (40)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
8
嘿嘿嘿嘿嘿嘿嘿嘿嘿
svch0st.exe

好细心啊.....亲
2011-5-21 22:50
0
雪    币: 397
活跃值: (683)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
作者还给出的几个博客地址。。。。。 貌似还对杀软做了统计
2011-5-21 22:52
0
雪    币: 79
活跃值: (40)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
10
传说中 作者是个小学生.....
2011-5-21 22:55
0
雪    币: 79
活跃值: (40)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
11
谢谢谢谢
2011-5-22 18:59
0
雪    币: 416
活跃值: (25)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
呵呵,這種病毒,我好像也有,最近小弟也遇到不少很像這種的病毒,不過都懶得分析精準,因為一方面它是一語言寫的,還有就是要解除他的方法很麻煩,不然我這裡倒是挺多那種奇奇怪怪的病毒樣本,呵呵呵呵。
2011-5-22 19:18
0
雪    币: 79
活跃值: (40)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
13
呵呵:)可以考虑使用虚拟机调试这样就不怕难清除了。
2011-5-23 22:03
0
雪    币: 13262
活跃值: (4311)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
很详细。。。。。。
2011-5-23 23:33
0
雪    币: 255
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
在哪?没看到?
2011-5-24 10:48
0
雪    币: 198
活跃值: (103)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
过不了主动这病毒! 小孩玩玩
2011-5-24 17:33
0
雪    币: 2323
活跃值: (4113)
能力值: ( LV12,RANK:530 )
在线值:
发帖
回帖
粉丝
17
谢谢分享~~
2011-5-24 17:44
0
雪    币: 5
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
其实,我对驱动比较有好奇。
2011-5-25 00:28
0
雪    币: 1895
活跃值: (1657)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
19


膜拜楼主。学习了。。。。
2011-5-25 08:49
0
雪    币: 79
活跃值: (40)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
20
帅哥,你来珠海了?
2011-5-25 16:37
0
雪    币: 79
活跃值: (40)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
21
的确过不了
但是能有8-10W的感染量还是有些可取之处的,比如恶意代码和主程序的分离
传说中作者的确是个小盆友10多岁的小朋友
2011-5-26 11:07
0
雪    币: 2323
活跃值: (4113)
能力值: ( LV12,RANK:530 )
在线值:
发帖
回帖
粉丝
22
咱不是帅锅,嘿嘿~~

嗯,来珠海了,以后还要多向您学习,嘿嘿~~
2011-5-26 15:18
0
雪    币: 79
活跃值: (40)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
23
珠海现在太潮湿了....坚持住啊
额..还是共同进步吧..我是菜鸟一只....
2011-5-26 17:00
0
雪    币: 1163
活跃值: (137)
能力值: ( LV12,RANK:230 )
在线值:
发帖
回帖
粉丝
24
跟主防较什么劲。达到目的就好。

现在只是文件撑大了,他要是再弄个变形引擎。。
2011-5-26 17:57
0
雪    币: 79
活跃值: (40)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
25
惊现老毕
杀软最好能先压缩再上传.这样那些撑大的文件就SX了..不知道可行否.
2011-5-26 18:07
0
游客
登录 | 注册 方可回帖
返回
//