首页
社区
课程
招聘
深入SXS病毒
发表于: 2007-2-5 21:20 13304

深入SXS病毒

2007-2-5 21:20
13304

终于可以正常访问看雪的电信站了,恭喜恭喜,再发篇关于病毒分析的文章,希望大家能够喜欢。


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 7
支持
分享
最新回复 (33)
雪    币: 229
活跃值: (70)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
2
沙发   
2007-2-5 21:21
0
雪    币: 210
活跃值: (146)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
板凳 。。
2007-2-5 21:21
0
雪    币: 243
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
拿个小板凳坐着
2007-2-5 21:22
0
雪    币: 14950
活跃值: (4733)
能力值: ( LV7,RANK:100 )
在线值:
发帖
回帖
粉丝
5
抢的真快...
2007-2-5 21:22
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
F5坐板凳,还有地板没.......

收下慢慢学习^_^
2007-2-5 21:22
0
雪    币: 229
活跃值: (70)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
7
2楼 2007-02-05,21:21      
------------------------------------------------------------
沙发   

3楼 2007-02-05,21:21      
------------------------------------------------------------
板凳 。。

呼……
2007-2-5 21:23
0
雪    币: 229
活跃值: (70)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
8
3楼 2007-02-05,21:21      
------------------------------------------------------------
板凳 。。

4楼 2007-02-05,21:22      
------------------------------------------------------------
拿个小板凳坐着

5楼 2007-02-05,21:22      
------------------------------------------------------------
抢的真快...

6楼 2007-02-05,21:22      
------------------------------------------------------------
F5坐板凳,还有地板没.......

收下慢慢学习^_^

呼呼…………
2007-2-5 21:25
0
雪    币: 116
活跃值: (220)
能力值: ( LV12,RANK:370 )
在线值:
发帖
回帖
粉丝
9
loveboom练就了百毒不侵的本领。。。
2007-2-5 21:32
0
雪    币: 47147
活跃值: (20460)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
10
难得这就是传说中的毒王克星?
2007-2-5 21:48
0
雪    币: 3686
活跃值: (1036)
能力值: (RANK:760 )
在线值:
发帖
回帖
粉丝
11
最近被一个spoolsv.exe病毒搞的郁闷死
简单说一下:主程序为spoolsv.exe,ASPack加的壳,主要是访问这个网站:
http://verify.mir8.info/
估计是盗传奇账号的?
spoolsv.exe位于C:\Windows\目录下,删除会,大概半个小时后又会出来,没找到还有什么地方会把它弄出来的,把这个样本提交给rising,音信全无,后来今天晚上发现KAV能查出来这个东西了,KAV今天更新的病毒库,看来是新病毒啊,查出来是
Trojan-Downloader.Win32.Delf.bex
现在的问题是:IE会自动访问上面这个网站,然后下载文件
被KAV的Web病毒保护发现了:
2007-02-05 21:43:58        恶意 HTTP 对象 <http://verify.mir8.info/EF7E3A91-7123-4000-A255-E0ABAC03B0CA/SDI_20061207.exe/ASPack>: 拒绝访问.
不知道它怎样利用IE自动访问这个网站的?
还望爱暴兄指点迷津。
2007-2-5 22:14
0
雪    币: 212
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
估计爱暴兄就是这些病毒的作者。。。
几千万通缉的啊。。。
2007-2-5 22:21
0
雪    币: 267
活跃值: (44)
能力值: ( LV9,RANK:330 )
在线值:
发帖
回帖
粉丝
13
支持,学习!
2007-2-5 22:46
0
雪    币: 3686
活跃值: (1036)
能力值: (RANK:760 )
在线值:
发帖
回帖
粉丝
14
最初由 cnbragon 发布
最近被一个spoolsv.exe病毒搞的郁闷死
简单说一下:主程序为spoolsv.exe,ASPack加的壳,主要是访问这个网站:
http://verify.mir8.info/
估计是盗传奇账号的?
spoolsv.exe位于C:\Windows\目录下,删除会,大概半个小时后又会出来,没找到还有什么地方会把它弄出来的,把这个样本提交给rising,音信全无,后来今天晚上发现KAV能查出来这个东西了,KAV今天更新的病毒库,看来是新病毒啊,查出来是
........

一晚上,终于搞定这个东西了
2007-2-6 06:58
0
雪    币: 296
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
这个一定要支持!
2007-2-6 09:07
0
雪    币: 257
活跃值: (369)
能力值: ( LV12,RANK:370 )
在线值:
发帖
回帖
粉丝
16
最初由 发布
一晚上,终于搞定这个东西了


越来越毒了啊。cnbragon怎么搞定的,我也刚刚遇到。汗
2007-2-6 09:07
0
雪    币: 557
活跃值: (2303)
能力值: ( LV9,RANK:2130 )
在线值:
发帖
回帖
粉丝
17
最初由 scship 发布
估计爱暴兄就是这些病毒的作者。。。
几千万通缉的啊。。。



说说笑可以,只是被别人一传十之类的话,你可得打pp哦
2007-2-6 10:01
0
雪    币: 557
活跃值: (2303)
能力值: ( LV9,RANK:2130 )
在线值:
发帖
回帖
粉丝
18
最初由 cnbragon 发布
一晚上,终于搞定这个东西了

方便的话就把这东西放上来,有时间我看看。
2007-2-6 10:03
0
雪    币: 7309
活跃值: (3788)
能力值: (RANK:1130 )
在线值:
发帖
回帖
粉丝
19
强人
2007-2-6 11:10
0
雪    币: 297
活跃值: (21)
能力值: ( LV9,RANK:330 )
在线值:
发帖
回帖
粉丝
20
不得不服啊~~!支持!
2007-2-6 11:30
0
雪    币: 70
活跃值: (74)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
21
loveboom兄真是强啊  有空教教小弟
2007-2-6 13:02
0
雪    币: 258
活跃值: (230)
能力值: ( LV12,RANK:770 )
在线值:
发帖
回帖
粉丝
22
宝宝,我来晚了,,,





2007-2-6 16:03
0
雪    币: 150
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
UP "Baobao"
2007-2-6 16:08
0
雪    币: 3686
活跃值: (1036)
能力值: (RANK:760 )
在线值:
发帖
回帖
粉丝
24
最初由 newsearch 发布
越来越毒了啊。cnbragon怎么搞定的,我也刚刚遇到。汗


spoolsv.exe只是这个马的表面,它只负责点击一个网页,提高其点击率
它的主要的模块是在c:\windows\system32\cryptchr.dll里,这个东西是这样加载的
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RegMon32]
    <WinlogonNotify: RegMon32><cryptchr.dll>  [Microsoft Corporation]

cryptchr.dll里导出SysLogon和SysLogOff两个函数,SysLogon函数
003E530C >/>mov     dword ptr [3E767C], 6DDD00
003E5316  |>xor     eax, eax
003E5318  |>mov     [3E7680], eax
003E531D  |>mov     eax, 003E76A8
003E5322  |>call    003E35B4
003E5327  |>push    1
003E5329  |>push    0
003E532B  |>push    003E52DC
003E5330  |>push    0
003E5332  |>mov     eax, [3E60D8]
003E5337  |>push    eax
003E5338  |>call    <jmp.&winmm.timeSetEvent>
003E533D  |>mov     [3E7684], eax
003E5342  |>call    003E4C44
003E5347  |>call    003E4D60
003E534C  \>retn

SysLogOff函数
003E5350 >/$  E8 3BFDFFFF     call    003E5090
003E5355  |.  833D 84763E00 0>cmp     dword ptr [3E7684], 0
003E535C  |.  74 0B           je      short 003E5369
003E535E  |.  A1 84763E00     mov     eax, [3E7684]
003E5363  |.  50              push    eax
003E5364  |.  E8 ABF7FFFF     call    <jmp.&winmm.timeKillEvent>
003E5369  \>  C3              retn

彻底清除的步骤:
1. 终止spoolsv.exe
2. 使用SRE删除掉这一注册表项[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RegMon32]
    <WinlogonNotify: RegMon32><cryptchr.dll>  [Microsoft Corporation]
3. 删除c:\windows\system32\cryptchr.dll
   删除c:\windows\Temp\FileMap.dat
   删除c:\windows\spoolsv.exe
   删除C:\Documents and Settings\Username\Local Settings\Temporary Internet Files\Content.IE5\里面所有的东西,特别是SDI_20061207[1].exe
   删除C:\Documents and Settings\Username\Local Settings\Temporary Internet Files下面所有的东西

BTW:好像是上了黄网才会感染,当时我开了卡巴,但那天卡巴的病毒库还查不出这个,但昨天升级的病毒库当中就可以查出来了,但也是除标不除本,只删除掉spoolsv.exe,没用。
还有,Rising给了回复,说会在新版本中加入对它的查杀,但因为我没有提到cryptchr.dll,估计他们也是除标不除本
2007-2-6 17:18
0
雪    币: 214
活跃值: (15)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
25
支持并学习
2007-2-7 00:22
0
游客
登录 | 注册 方可回帖
返回
//