[原创]雪花病毒分析报告-付费问答-看雪-安全社区|安全招聘|kanxue.com

[旧帖] [原创]雪花病毒分析报告 0.00雪花

发表于: 2011-5-21 22:16 12477

[旧帖] [原创]雪花病毒分析报告 0.00雪花

wParma

2011-5-21 22:16

12477

代码简单注释如下:
;time.ini的解码
00401926   > /8B4D E8               mov     ecx, dword ptr [ebp-18]
00401929   . |83C1 04               add     ecx, 4
0040192C   . |894D E8               mov     dword ptr [ebp-18], ecx
0040192F   > |8B55 E8               mov     edx, dword ptr [ebp-18]
00401932   . |3B55 E4               cmp     edx, dword ptr [ebp-1C]
00401935   . |7D 33                 jge     short 0040196A                                  ;  解密是否完成
00401937   . |8B45 08               mov     eax, dword ptr [ebp+8]
0040193A   . |0345 E8               add     eax, dword ptr [ebp-18]
0040193D   . |8B08                  mov     ecx, dword ptr [eax]
0040193F   . |894D EC               mov     dword ptr [ebp-14], ecx                         ;  获取加密数据
00401942   . |8B55 EC               mov     edx, dword ptr [ebp-14]
00401945   . |3355 F0               xor     edx, dword ptr [ebp-10]                         ;  用加密的数据和key1做xor
00401948   . |8955 EC               mov     dword ptr [ebp-14], edx
0040194B   . |8B45 EC               mov     eax, dword ptr [ebp-14]
0040194E   . |3345 F8               xor     eax, dword ptr [ebp-8]                          ;  用第一步的结果和key2做xor,key2来自time.ini+0处
00401951   . |8945 EC               mov     dword ptr [ebp-14], eax
00401954   . |8B4D F0               mov     ecx, dword ptr [ebp-10]
00401957   . |034D EC               add     ecx, dword ptr [ebp-14]                         ;  变换key1,用key1和解密数据做add
0040195A   . |894D F0               mov     dword ptr [ebp-10], ecx
0040195D   . |8B55 08               mov     edx, dword ptr [ebp+8]
00401960   . |0355 E8               add     edx, dword ptr [ebp-18]
00401963   . |8B45 EC               mov     eax, dword ptr [ebp-14]
00401966   . |8902                  mov     dword ptr [edx], eax                            ;  保存解密后的数据
00401968   .^\EB BC                 jmp     short 00401926

0040150A  |.  8B4D 08               mov     ecx, dword ptr [ebp+8]
0040150D  |.  8B11                  mov     edx, dword ptr [ecx]
0040150F  |.  8955 FC               mov     dword ptr [ebp-4], edx                          ;  offset 获取shellcode开始执行的偏移 在time.ini+0x8取
00401512  |.  8B45 08               mov     eax, dword ptr [ebp+8]
00401515  |.  83C0 04               add     eax, 4                                          ;  baseaddress 获取time.ini+c偏移在内存中的位置
00401518  |.  8945 F8               mov     dword ptr [ebp-8], eax
0040151B  |.  8B4D F8               mov     ecx, dword ptr [ebp-8]
0040151E  |.  034D FC               add     ecx, dword ptr [ebp-4]                          ;  shellOEP = baseaddress+offset 通过计算或得shellcode开始执行的位置
00401521  |.  0FBE11                movsx   edx, byte ptr [ecx]
00401524  |.  83FA 55               cmp     edx, 55                                         ;  通过特征码验证shellOEP是否正确
00401527  |.  0F85 94000000         jnz     004015C1

00C5036C    8038 CC                 cmp     byte ptr [eax], 0CC                             ; 当前获取函数是否被下断点
00C5036F    74 7F                   je      short 00C503F0
00C50371    48                      dec     eax                                             ; 获取的函数地质-1
00C50372    8038 90                 cmp     byte ptr [eax], 90                              ; 当前指向的位置是否为nop,如果不是还原地质
00C50375    74 01                   je      short 00C50378
00C50377    40                      inc     eax

登录后可查看完整内容

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)

上传的附件：

雪花坏事代码.jpg （37.32kb，1176次下载）
原始.jpg （76.72kb，1178次下载）
雪花Hook.jpg （77.48kb，1171次下载）
shellcode整体1.gif （18.52kb，1170次下载）
解码整体1.gif （7.78kb，1171次下载）
整体1.gif （4.23kb，1169次下载）

收藏・16

免费・7

支持

最新回复 (82) 1 2 3 4 ▶
松下书童雪币： 144 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 70 粉丝 0 关注私信	松下书童 2 楼支持楼主，顶 2011-5-21 22:25 0
wParma 雪币： 79 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 147 粉丝 0 关注私信	wParma 1 3 楼谢谢谢谢忘了传附件了 2012桌面雪花.rar 解压密码:virus 上传的附件： 2012桌面雪花.rar （81.40kb，52次下载） 2011-5-21 22:28 0
cooolie 雪币： 177 活跃值： (471) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 99 粉丝 0 关注私信	cooolie 4 楼这没搞完吧，里面还有东西，特别是explorer那shellcode 2011-5-21 22:34 0
cooolie 雪币： 177 活跃值： (471) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 99 粉丝 0 关注私信	cooolie 5 楼内容摘要本次分析的主要关注囧，没注意这句话分析的很好，特别是那排版，那流程图很清晰很华丽 2011-5-21 22:37 0
wParma 雪币： 79 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 147 粉丝 0 关注私信	wParma 1 6 楼是的..亲其实是跑到哪里就报错了....没有继续跟注入的shellcode其实就是time.ini解码后的内容(time.ini+0x1c) 手段貌似已经没啥新花样了看他那几个没用的API主要负载貌似是个下载者 2011-5-21 22:37 0
hkfans 雪币： 576 活跃值： (1163) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 273 粉丝 17 关注私信	hkfans 3 7 楼楼主的ID是不是想取 wParam啊，呵呵 2011-5-21 22:47 0
wParma 雪币： 79 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 147 粉丝 0 关注私信	wParma 1 8 楼嘿嘿嘿嘿嘿嘿嘿嘿嘿 svch0st.exe 好细心啊.....亲 2011-5-21 22:50 0
enze 雪币： 397 活跃值： (668) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 38 粉丝 0 关注私信	enze 9 楼作者还给出的几个博客地址。。。。。貌似还对杀软做了统计 2011-5-21 22:52 0
wParma 雪币： 79 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 147 粉丝 0 关注私信	wParma 1 10 楼传说中作者是个小学生..... 2011-5-21 22:55 0
wParma 雪币： 79 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 147 粉丝 0 关注私信	wParma 1 11 楼谢谢谢谢 2011-5-22 18:59 0
幻影火雪币： 416 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 368 粉丝 0 关注私信	幻影火 12 楼呵呵，這種病毒，我好像也有，最近小弟也遇到不少很像這種的病毒，不過都懶得分析精準，因為一方面它是一語言寫的，還有就是要解除他的方法很麻煩，不然我這裡倒是挺多那種奇奇怪怪的病毒樣本，呵呵呵呵。 2011-5-22 19:18 0
wParma 雪币： 79 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 147 粉丝 0 关注私信	wParma 1 13 楼呵呵:)可以考虑使用虚拟机调试这样就不怕难清除了。 2011-5-23 22:03 0
xJJuno 雪币： 13246 活跃值： (4296) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 14 楼很详细。。。。。。 2011-5-23 23:33 0
seaver 雪币： 255 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	seaver 15 楼在哪？没看到？ 2011-5-24 10:48 0
yamidie 雪币： 198 活跃值： (103) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 123 粉丝 0 关注私信	yamidie 16 楼过不了主动这病毒！小孩玩玩 2011-5-24 17:33 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 141 关注私信	熊猫正正 9 17 楼谢谢分享~~ 2011-5-24 17:44 0
迪恩雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	迪恩 18 楼其实，我对驱动比较有好奇。 2011-5-25 00:28 0
z许雪币： 1895 活跃值： (1657) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 266 粉丝 4 关注私信	z许 19 楼膜拜楼主。学习了。。。。 2011-5-25 08:49 0
wParma 雪币： 79 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 147 粉丝 0 关注私信	wParma 1 20 楼帅哥,你来珠海了? 2011-5-25 16:37 0
wParma 雪币： 79 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 147 粉丝 0 关注私信	wParma 1 21 楼的确过不了但是能有8-10W的感染量还是有些可取之处的,比如恶意代码和主程序的分离传说中作者的确是个小盆友10多岁的小朋友 2011-5-26 11:07 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 141 关注私信	熊猫正正 9 22 楼咱不是帅锅，嘿嘿~~ 嗯，来珠海了，以后还要多向您学习，嘿嘿~~ 2011-5-26 15:18 0
wParma 雪币： 79 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 147 粉丝 0 关注私信	wParma 1 23 楼珠海现在太潮湿了....坚持住啊额..还是共同进步吧..我是菜鸟一只.... 2011-5-26 17:00 0
pencil 雪币： 1163 活跃值： (137) 能力值： ( LV12，RANK：230 ) 在线值：发帖 22 回帖 680 粉丝 1 关注私信	pencil 5 24 楼跟主防较什么劲。达到目的就好。现在只是文件撑大了，他要是再弄个变形引擎。。 2011-5-26 17:57 0
wParma 雪币： 79 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 147 粉丝 0 关注私信	wParma 1 25 楼惊现老毕杀软最好能先压缩再上传.这样那些撑大的文件就SX了..不知道可行否. 2011-5-26 18:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

wParma

发帖

147

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (82) 1 2 3 4 ▶
松下书童雪币： 144 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 70 粉丝 0 关注私信	松下书童 2 楼支持楼主，顶 2011-5-21 22:25 0
wParma 雪币： 79 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 147 粉丝 0 关注私信	wParma 1 3 楼谢谢谢谢忘了传附件了 2012桌面雪花.rar 解压密码:virus 上传的附件： 2012桌面雪花.rar （81.40kb，52次下载） 2011-5-21 22:28 0
cooolie 雪币： 177 活跃值： (471) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 99 粉丝 0 关注私信	cooolie 4 楼这没搞完吧，里面还有东西，特别是explorer那shellcode 2011-5-21 22:34 0
cooolie 雪币： 177 活跃值： (471) 能力值： ( LV2，RANK：10 ) 在线值：发帖 28 回帖 99 粉丝 0 关注私信	cooolie 5 楼内容摘要本次分析的主要关注囧，没注意这句话分析的很好，特别是那排版，那流程图很清晰很华丽 2011-5-21 22:37 0
wParma 雪币： 79 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 147 粉丝 0 关注私信	wParma 1 6 楼是的..亲其实是跑到哪里就报错了....没有继续跟注入的shellcode其实就是time.ini解码后的内容(time.ini+0x1c) 手段貌似已经没啥新花样了看他那几个没用的API主要负载貌似是个下载者 2011-5-21 22:37 0
hkfans 雪币： 576 活跃值： (1163) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 273 粉丝 17 关注私信	hkfans 3 7 楼楼主的ID是不是想取 wParam啊，呵呵 2011-5-21 22:47 0
wParma 雪币： 79 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 147 粉丝 0 关注私信	wParma 1 8 楼嘿嘿嘿嘿嘿嘿嘿嘿嘿 svch0st.exe 好细心啊.....亲 2011-5-21 22:50 0
enze 雪币： 397 活跃值： (668) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 38 粉丝 0 关注私信	enze 9 楼作者还给出的几个博客地址。。。。。貌似还对杀软做了统计 2011-5-21 22:52 0
wParma 雪币： 79 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 147 粉丝 0 关注私信	wParma 1 10 楼传说中作者是个小学生..... 2011-5-21 22:55 0
wParma 雪币： 79 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 147 粉丝 0 关注私信	wParma 1 11 楼谢谢谢谢 2011-5-22 18:59 0
幻影火雪币： 416 活跃值： (25) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 368 粉丝 0 关注私信	幻影火 12 楼呵呵，這種病毒，我好像也有，最近小弟也遇到不少很像這種的病毒，不過都懶得分析精準，因為一方面它是一語言寫的，還有就是要解除他的方法很麻煩，不然我這裡倒是挺多那種奇奇怪怪的病毒樣本，呵呵呵呵。 2011-5-22 19:18 0
wParma 雪币： 79 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 147 粉丝 0 关注私信	wParma 1 13 楼呵呵:)可以考虑使用虚拟机调试这样就不怕难清除了。 2011-5-23 22:03 0
xJJuno 雪币： 13246 活跃值： (4296) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 397 粉丝 1 关注私信	xJJuno 14 楼很详细。。。。。。 2011-5-23 23:33 0
seaver 雪币： 255 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 20 粉丝 0 关注私信	seaver 15 楼在哪？没看到？ 2011-5-24 10:48 0
yamidie 雪币： 198 活跃值： (103) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 123 粉丝 0 关注私信	yamidie 16 楼过不了主动这病毒！小孩玩玩 2011-5-24 17:33 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 141 关注私信	熊猫正正 9 17 楼谢谢分享~~ 2011-5-24 17:44 0
迪恩雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 5 粉丝 0 关注私信	迪恩 18 楼其实，我对驱动比较有好奇。 2011-5-25 00:28 0
z许雪币： 1895 活跃值： (1657) 能力值： ( LV5，RANK：60 ) 在线值：发帖 13 回帖 266 粉丝 4 关注私信	z许 19 楼膜拜楼主。学习了。。。。 2011-5-25 08:49 0
wParma 雪币： 79 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 147 粉丝 0 关注私信	wParma 1 20 楼帅哥,你来珠海了? 2011-5-25 16:37 0
wParma 雪币： 79 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 147 粉丝 0 关注私信	wParma 1 21 楼的确过不了但是能有8-10W的感染量还是有些可取之处的,比如恶意代码和主程序的分离传说中作者的确是个小盆友10多岁的小朋友 2011-5-26 11:07 0
熊猫正正雪币： 2323 活跃值： (4113) 能力值： ( LV12，RANK：530 ) 在线值：发帖 137 回帖 898 粉丝 141 关注私信	熊猫正正 9 22 楼咱不是帅锅，嘿嘿~~ 嗯，来珠海了，以后还要多向您学习，嘿嘿~~ 2011-5-26 15:18 0
wParma 雪币： 79 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 147 粉丝 0 关注私信	wParma 1 23 楼珠海现在太潮湿了....坚持住啊额..还是共同进步吧..我是菜鸟一只.... 2011-5-26 17:00 0
pencil 雪币： 1163 活跃值： (137) 能力值： ( LV12，RANK：230 ) 在线值：发帖 22 回帖 680 粉丝 1 关注私信	pencil 5 24 楼跟主防较什么劲。达到目的就好。现在只是文件撑大了，他要是再弄个变形引擎。。 2011-5-26 17:57 0
wParma 雪币： 79 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 4 回帖 147 粉丝 0 关注私信	wParma 1 25 楼惊现老毕杀软最好能先压缩再上传.这样那些撑大的文件就SX了..不知道可行否. 2011-5-26 18:07 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复