[原创]菜鸟的第二份病毒分析报告，欢迎指教-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]菜鸟的第二份病毒分析报告，欢迎指教

发表于: 2012-5-2 14:03 15960

[原创]菜鸟的第二份病毒分析报告，欢迎指教

pc小波

2012-5-2 14:03

15960

这是偶写的第二份病毒分析报告，有些地方木有弄清楚，请各位多多指教！
病毒名称： Trojan.KillWin.v
病毒类型：恶意病毒（不知道这个归类正确否？）
受影响系统：Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
开发工具： VC6.0
加壳类型：无壳
简介：该病毒将自身复制到系统目录下，并重命名为rp.exe。操作注册表，将病毒设置为随系统自启动。创建两个线程，其中一个线程根据一定算法计算得到一个随机值，根据该值执行不同的操作，如
打开记事本，打开任务管理器，访问指定网站，注销用户重启系统，关闭当前用户窗口等等操作。线程2创建 C:\WINDOWS\system32\msg.sys以及C:\WINDOWS\system32\msg.exe,并执行msg.exe。弹出“You are infected with RP_Virus !”对话框提示信息。另外，每隔300s鸣喇叭告警一次。其中计算文件大小不知道干嘛？？？

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

5.2报告.zip （19.15kb，119次下载）

收藏・8

免费・6

支持

最新回复 (14)
天下皆白雪币： 105 活跃值： (38) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 38 粉丝 0 关注私信	天下皆白 1 2 楼建议说明不要在API上进行说明，可以说一下设计者的思路，以及处理这段代码的想法或者是奇技淫巧的手段在哪。 2012-5-2 18:01 0
pc小波雪币： 118 活跃值： (106) 能力值： ( LV6，RANK：90 ) 在线值：发帖 76 回帖 468 粉丝 0 关注私信	pc小波 1 3 楼嗯。谢谢！ 2012-5-2 18:15 0
孤单的狼雪币： 27 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 193 粉丝 0 关注私信	孤单的狼 4 楼支持一下还是看不懂…… 2012-5-2 19:40 0
appleibm 雪币： 139 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 84 粉丝 0 关注私信	appleibm 5 楼鼓励一下楼主，继续加油 2012-5-4 17:57 0
rxhdawnrun 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	rxhdawnrun 6 楼谢谢分享，鼓励一下楼主 2012-6-16 00:01 0
zpsemo 雪币： 18 活跃值： (430) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 167 粉丝 2 关注私信	zpsemo 7 楼这个病毒判断真多.... 也比较无聊动作太明显一下就看到行为了... 2012-6-19 09:31 0
幽灵娃娃雪币： 60 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 51 粉丝 0 关注私信	幽灵娃娃 8 楼首先对PC小波抱歉，我水平也很低，也许不该怎么说，我曾经看过您的一些资料，也看过之前您的病毒分析报告，但是，只是分析下汇编里面的函数调用之类的貌似还是不不行的，最好，你把这个病毒的整个执行过程反编译成C语言的源代码格式。看得懂基础调用汇编指令是一回事，能完全逆出一个程序的代码出来是另外一回事。 2012-8-10 23:56 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 9 楼病毒分析不等于逆向，请搞清楚。所谓逆向就如你说把源码逆出来再编译通过，而病毒分析不需要这样。 2012-8-16 23:42 0
keikey 雪币： 222 活跃值： (42) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 25 粉丝 0 关注私信	keikey 10 楼计算文件大小不就是为了复制自已么？我理解的不知道对不对？fread...fwrite. 2012-9-16 22:17 0
xcvzaq 雪币： 119 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	xcvzaq 11 楼将自身复制到系统目录下，并改名为rp.exe 00401D3C . C74424 08 040>mov dword ptr ss:[esp+8], 104 ; \| 00401D44 . C74424 04 109>mov dword ptr ss:[esp+4], 00409010 ; \| 00401D4C . A1 A0954000 mov eax, dword ptr ds:[4095A0] ; \| 00401D51 . 890424 mov dword ptr ss:[esp], eax ; \| 00401D54 . E8 87090000 call <jmp.&KERNEL32.GetModuleFileName>; \GetModuleFileNameA 00401D59 . 83EC 0C sub esp, 0C 为什么调用函数前不是常见的push压入参数，而是类似的这种方式???有什么优势么？ 2012-9-20 17:36 0
寂寞如刀雪币： 58 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 62 粉丝 0 关注私信	寂寞如刀 1 12 楼分析的挺好的,顶一下楼主. 2012-11-29 15:12 0
houruiming 雪币： 156 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	houruiming 13 楼 [QUOTE=xcvzaq;1103189]将自身复制到系统目录下，并改名为rp.exe 00401D3C . C74424 08 040>mov dword ptr ss:[esp+8], 104 ; \| 00401D44 . C74424 04 109>mov dword ptr ss:[e...[/QUOTE] 可能是不同的compiler生成的代码，效果是一样的 2012-12-6 14:23 0
fsjaky 雪币： 66 活跃值： (49) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 46 粉丝 0 关注私信	fsjaky 14 楼学习一下，也要励志一番了！ 2013-1-5 12:05 0
evilkis 雪币： 596 活跃值： (449) 能力值： ( LV12，RANK：320 ) 在线值：发帖 15 回帖 509 粉丝 8 关注私信	evilkis 7 15 楼分析病毒的话IDA大体看下流程一些有特点的地方细看一下即可 2013-1-5 12:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

pc小波

发帖

468

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (14)
天下皆白雪币： 105 活跃值： (38) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 38 粉丝 0 关注私信	天下皆白 1 2 楼建议说明不要在API上进行说明，可以说一下设计者的思路，以及处理这段代码的想法或者是奇技淫巧的手段在哪。 2012-5-2 18:01 0
pc小波雪币： 118 活跃值： (106) 能力值： ( LV6，RANK：90 ) 在线值：发帖 76 回帖 468 粉丝 0 关注私信	pc小波 1 3 楼嗯。谢谢！ 2012-5-2 18:15 0
孤单的狼雪币： 27 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 193 粉丝 0 关注私信	孤单的狼 4 楼支持一下还是看不懂…… 2012-5-2 19:40 0
appleibm 雪币： 139 活跃值： (25) 能力值： ( LV3，RANK：30 ) 在线值：发帖 5 回帖 84 粉丝 0 关注私信	appleibm 5 楼鼓励一下楼主，继续加油 2012-5-4 17:57 0
rxhdawnrun 雪币： 202 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	rxhdawnrun 6 楼谢谢分享，鼓励一下楼主 2012-6-16 00:01 0
zpsemo 雪币： 18 活跃值： (430) 能力值： ( LV4，RANK：40 ) 在线值：发帖 13 回帖 167 粉丝 2 关注私信	zpsemo 7 楼这个病毒判断真多.... 也比较无聊动作太明显一下就看到行为了... 2012-6-19 09:31 0
幽灵娃娃雪币： 60 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 51 粉丝 0 关注私信	幽灵娃娃 8 楼首先对PC小波抱歉，我水平也很低，也许不该怎么说，我曾经看过您的一些资料，也看过之前您的病毒分析报告，但是，只是分析下汇编里面的函数调用之类的貌似还是不不行的，最好，你把这个病毒的整个执行过程反编译成C语言的源代码格式。看得懂基础调用汇编指令是一回事，能完全逆出一个程序的代码出来是另外一回事。 2012-8-10 23:56 0
goddkiller 雪币： 485 活跃值： (78) 能力值： ( LV4，RANK：40 ) 在线值：发帖 9 回帖 346 粉丝 1 关注私信	goddkiller 9 楼病毒分析不等于逆向，请搞清楚。所谓逆向就如你说把源码逆出来再编译通过，而病毒分析不需要这样。 2012-8-16 23:42 0
keikey 雪币： 222 活跃值： (42) 能力值： ( LV3，RANK：20 ) 在线值：发帖 4 回帖 25 粉丝 0 关注私信	keikey 10 楼计算文件大小不就是为了复制自已么？我理解的不知道对不对？fread...fwrite. 2012-9-16 22:17 0
xcvzaq 雪币： 119 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	xcvzaq 11 楼将自身复制到系统目录下，并改名为rp.exe 00401D3C . C74424 08 040>mov dword ptr ss:[esp+8], 104 ; \| 00401D44 . C74424 04 109>mov dword ptr ss:[esp+4], 00409010 ; \| 00401D4C . A1 A0954000 mov eax, dword ptr ds:[4095A0] ; \| 00401D51 . 890424 mov dword ptr ss:[esp], eax ; \| 00401D54 . E8 87090000 call <jmp.&KERNEL32.GetModuleFileName>; \GetModuleFileNameA 00401D59 . 83EC 0C sub esp, 0C 为什么调用函数前不是常见的push压入参数，而是类似的这种方式???有什么优势么？ 2012-9-20 17:36 0
寂寞如刀雪币： 58 活跃值： (25) 能力值： ( LV4，RANK：50 ) 在线值：发帖 1 回帖 62 粉丝 0 关注私信	寂寞如刀 1 12 楼分析的挺好的,顶一下楼主. 2012-11-29 15:12 0
houruiming 雪币： 156 活跃值： (20) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 17 粉丝 0 关注私信	houruiming 13 楼 [QUOTE=xcvzaq;1103189]将自身复制到系统目录下，并改名为rp.exe 00401D3C . C74424 08 040>mov dword ptr ss:[esp+8], 104 ; \| 00401D44 . C74424 04 109>mov dword ptr ss:[e...[/QUOTE] 可能是不同的compiler生成的代码，效果是一样的 2012-12-6 14:23 0
fsjaky 雪币： 66 活跃值： (49) 能力值： ( LV3，RANK：30 ) 在线值：发帖 8 回帖 46 粉丝 0 关注私信	fsjaky 14 楼学习一下，也要励志一番了！ 2013-1-5 12:05 0
evilkis 雪币： 596 活跃值： (449) 能力值： ( LV12，RANK：320 ) 在线值：发帖 15 回帖 509 粉丝 8 关注私信	evilkis 7 15 楼分析病毒的话IDA大体看下流程一些有特点的地方细看一下即可 2013-1-5 12:32 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复