-
-
[求助]一个感染型病毒
-
发表于: 2014-7-15 00:37
-
最近办公室中了一个毒,该毒感染电脑上的所有exe文件的资源段,然后劫持代码段中的函数调用,运行时exe文件时调用病毒代码。
样本中是我用汇编生成的最简单的exe文件,分别是感染前1,2,然后我把他们放到了感染后的电脑上,是感染后1,2.
我大概分析了下病毒代码,不是很能看得懂,感觉很多花指令还是什么的
。
此病毒应该还是比较多,但是使用杀毒不能杀彻底,测试了下,不知道是线程注入还是什么方法,对exe文件的修改全是来自explorer,我关掉explorer,文件就不感染了,一打开继续感染。感染后的文件一般来说还是可以运行,只是对于.net开发的文件就不行了 ,不能再运行。
自己确实解决不了,所以想到把样本放到这里,让大牛们看看,顺便帮我分析下,病毒到底做了哪些,怎么让自己运行起来的等。谢谢!!
样本中是我用汇编生成的最简单的exe文件,分别是感染前1,2,然后我把他们放到了感染后的电脑上,是感染后1,2.
我大概分析了下病毒代码,不是很能看得懂,感觉很多花指令还是什么的
。此病毒应该还是比较多,但是使用杀毒不能杀彻底,测试了下,不知道是线程注入还是什么方法,对exe文件的修改全是来自explorer,我关掉explorer,文件就不感染了,一打开继续感染。感染后的文件一般来说还是可以运行,只是对于.net开发的文件就不行了 ,不能再运行。
自己确实解决不了,所以想到把样本放到这里,让大牛们看看,顺便帮我分析下,病毒到底做了哪些,怎么让自己运行起来的等。谢谢!!
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
