深入SXS病毒-软件逆向-看雪-安全社区|安全招聘|kanxue.com

深入SXS病毒

发表于: 2007-2-5 21:20 13229

深入SXS病毒

loveboom

2007-2-5 21:20

13229

终于可以正常访问看雪的电信站了，恭喜恭喜，再发篇关于病毒分析的文章，希望大家能够喜欢。

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法

上传的附件：

pswqq.sb.rar （293.45kb，108次下载）

收藏・0

免费・7

支持

最新回复 (33) 1 2 ▶
skyege 雪币： 229 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 555 粉丝 0 关注私信	skyege 2 2 楼沙发 2007-2-5 21:21 0
五哥雪币： 210 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 90 粉丝 1 关注私信	五哥 3 楼板凳。。 2007-2-5 21:21 0
bbzhu 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 110 粉丝 1 关注私信	bbzhu 4 楼拿个小板凳坐着 2007-2-5 21:22 0
LOCKLOSE 雪币： 13616 活跃值： (4403) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1038 粉丝 20 关注私信	LOCKLOSE 2 5 楼抢的真快... 2007-2-5 21:22 0
mgyxj 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 52 粉丝 0 关注私信	mgyxj 6 楼 F5坐板凳，还有地板没....... 收下慢慢学习^_^ 2007-2-5 21:22 0
skyege 雪币： 229 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 555 粉丝 0 关注私信	skyege 2 7 楼 2楼 2007-02-05,21:21 ------------------------------------------------------------ 沙发 3楼 2007-02-05,21:21 ------------------------------------------------------------ 板凳。。呼…… 2007-2-5 21:23 0
skyege 雪币： 229 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 555 粉丝 0 关注私信	skyege 2 8 楼 3楼 2007-02-05,21:21 ------------------------------------------------------------ 板凳。。 4楼 2007-02-05,21:22 ------------------------------------------------------------ 拿个小板凳坐着 5楼 2007-02-05,21:22 ------------------------------------------------------------ 抢的真快... 6楼 2007-02-05,21:22 ------------------------------------------------------------ F5坐板凳，还有地板没....... 收下慢慢学习^_^ 呼呼………… 2007-2-5 21:25 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 9 楼 loveboom练就了百毒不侵的本领。。。 2007-2-5 21:32 0
kanxue 雪币： 44229 活跃值： (19965) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 10 楼难得这就是传说中的毒王克星？ 2007-2-5 21:48 0
cnbragon 雪币： 3686 活跃值： (1036) 能力值： (RANK：760 ) 在线值：发帖 48 回帖 802 粉丝 9 关注私信	cnbragon 18 11 楼最近被一个spoolsv.exe病毒搞的郁闷死简单说一下：主程序为spoolsv.exe,ASPack加的壳，主要是访问这个网站： http://verify.mir8.info/ 估计是盗传奇账号的？ spoolsv.exe位于C:\Windows\目录下，删除会，大概半个小时后又会出来，没找到还有什么地方会把它弄出来的，把这个样本提交给rising，音信全无，后来今天晚上发现KAV能查出来这个东西了，KAV今天更新的病毒库，看来是新病毒啊，查出来是 Trojan-Downloader.Win32.Delf.bex 现在的问题是：IE会自动访问上面这个网站，然后下载文件被KAV的Web病毒保护发现了： 2007-02-05 21:43:58 恶意 HTTP 对象 <http://verify.mir8.info/EF7E3A91-7123-4000-A255-E0ABAC03B0CA/SDI_20061207.exe/ASPack>: 拒绝访问. 不知道它怎样利用IE自动访问这个网站的？还望爱暴兄指点迷津。 2007-2-5 22:14 0
scship 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 217 粉丝 1 关注私信	scship 12 楼估计爱暴兄就是这些病毒的作者。。。几千万通缉的啊。。。 2007-2-5 22:21 0
hrbx 雪币： 267 活跃值： (44) 能力值： ( LV9，RANK：330 ) 在线值：发帖 11 回帖 195 粉丝 1 关注私信	hrbx 8 13 楼支持，学习！ 2007-2-5 22:46 0
cnbragon 雪币： 3686 活跃值： (1036) 能力值： (RANK：760 ) 在线值：发帖 48 回帖 802 粉丝 9 关注私信	cnbragon 18 14 楼最初由 cnbragon* 发布* 最近被一个spoolsv.exe病毒搞的郁闷死简单说一下：主程序为spoolsv.exe,ASPack加的壳，主要是访问这个网站： http://verify.mir8.info/ 估计是盗传奇账号的？ spoolsv.exe位于C:\Windows\目录下，删除会，大概半个小时后又会出来，没找到还有什么地方会把它弄出来的，把这个样本提交给rising，音信全无，后来今天晚上发现KAV能查出来这个东西了，KAV今天更新的病毒库，看来是新病毒啊，查出来是 ........ 一晚上，终于搞定这个东西了 2007-2-6 06:58 0
XiaosanAiq 雪币： 296 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 180 粉丝 0 关注私信	XiaosanAiq 15 楼这个一定要支持！ 2007-2-6 09:07 0
newsearch 雪币： 257 活跃值： (369) 能力值： ( LV12，RANK：370 ) 在线值：发帖 14 回帖 342 粉丝 2 关注私信	newsearch 9 16 楼最初由发布一晚上，终于搞定这个东西了越来越毒了啊。cnbragon怎么搞定的，我也刚刚遇到。汗 2007-2-6 09:07 0
loveboom 雪币： 513 活跃值： (2258) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 687 粉丝 10 关注私信	loveboom 53 17 楼最初由 scship* 发布* 估计爱暴兄就是这些病毒的作者。。。几千万通缉的啊。。。说说笑可以，只是被别人一传十之类的话，你可得打pp哦 2007-2-6 10:01 0
loveboom 雪币： 513 活跃值： (2258) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 687 粉丝 10 关注私信	loveboom 53 18 楼最初由 cnbragon* 发布* 一晚上，终于搞定这个东西了方便的话就把这东西放上来，有时间我看看。 2007-2-6 10:03 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 19 楼强人 2007-2-6 11:10 0
dewar 雪币： 297 活跃值： (21) 能力值： ( LV9，RANK：330 ) 在线值：发帖 9 回帖 125 粉丝 0 关注私信	dewar 8 20 楼不得不服啊～～！支持！ 2007-2-6 11:30 0
yiyiguxing 雪币： 70 活跃值： (74) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 257 粉丝 0 关注私信	yiyiguxing 1 21 楼 loveboom兄真是强啊　　有空教教小弟 2007-2-6 13:02 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 22 楼宝宝,我来晚了,,, 我给你一个顶 2007-2-6 16:03 0
zlmsdn 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 39 粉丝 0 关注私信	zlmsdn 23 楼 UP "Baobao" 2007-2-6 16:08 0
cnbragon 雪币： 3686 活跃值： (1036) 能力值： (RANK：760 ) 在线值：发帖 48 回帖 802 粉丝 9 关注私信	cnbragon 18 24 楼最初由 newsearch* 发布* 越来越毒了啊。cnbragon怎么搞定的，我也刚刚遇到。汗 spoolsv.exe只是这个马的表面，它只负责点击一个网页，提高其点击率它的主要的模块是在c:\windows\system32\cryptchr.dll里，这个东西是这样加载的 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RegMon32] <WinlogonNotify: RegMon32><cryptchr.dll> [Microsoft Corporation] cryptchr.dll里导出SysLogon和SysLogOff两个函数，SysLogon函数 003E530C >/>mov dword ptr [3E767C], 6DDD00 003E5316 \|>xor eax, eax 003E5318 \|>mov [3E7680], eax 003E531D \|>mov eax, 003E76A8 003E5322 \|>call 003E35B4 003E5327 \|>push 1 003E5329 \|>push 0 003E532B \|>push 003E52DC 003E5330 \|>push 0 003E5332 \|>mov eax, [3E60D8] 003E5337 \|>push eax 003E5338 \|>call <jmp.&winmm.timeSetEvent> 003E533D \|>mov [3E7684], eax 003E5342 \|>call 003E4C44 003E5347 \|>call 003E4D60 003E534C \>retn SysLogOff函数 003E5350 >/$ E8 3BFDFFFF call 003E5090 003E5355 \|. 833D 84763E00 0>cmp dword ptr [3E7684], 0 003E535C \|. 74 0B je short 003E5369 003E535E \|. A1 84763E00 mov eax, [3E7684] 003E5363 \|. 50 push eax 003E5364 \|. E8 ABF7FFFF call <jmp.&winmm.timeKillEvent> 003E5369 \> C3 retn 彻底清除的步骤： 1. 终止spoolsv.exe 2. 使用SRE删除掉这一注册表项[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RegMon32] <WinlogonNotify: RegMon32><cryptchr.dll> [Microsoft Corporation] 3. 删除c:\windows\system32\cryptchr.dll 删除c:\windows\Temp\FileMap.dat 删除c:\windows\spoolsv.exe 删除C:\Documents and Settings\Username\Local Settings\Temporary Internet Files\Content.IE5\里面所有的东西，特别是SDI_20061207[1].exe 删除C:\Documents and Settings\Username\Local Settings\Temporary Internet Files下面所有的东西 BTW：好像是上了黄网才会感染，当时我开了卡巴，但那天卡巴的病毒库还查不出这个，但昨天升级的病毒库当中就可以查出来了，但也是除标不除本，只删除掉spoolsv.exe，没用。还有，Rising给了回复，说会在新版本中加入对它的查杀，但因为我没有提到cryptchr.dll，估计他们也是除标不除本 2007-2-6 17:18 0
ljy3282393 雪币： 214 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 426 粉丝 1 关注私信	ljy3282393 1 25 楼支持并学习 2007-2-7 00:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

loveboom

100

发帖

687

回帖

2130

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (33) 1 2 ▶
skyege 雪币： 229 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 555 粉丝 0 关注私信	skyege 2 2 楼沙发 2007-2-5 21:21 0
五哥雪币： 210 活跃值： (146) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 90 粉丝 1 关注私信	五哥 3 楼板凳。。 2007-2-5 21:21 0
bbzhu 雪币： 243 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 11 回帖 110 粉丝 1 关注私信	bbzhu 4 楼拿个小板凳坐着 2007-2-5 21:22 0
LOCKLOSE 雪币： 13616 活跃值： (4403) 能力值： ( LV7，RANK：100 ) 在线值：发帖 32 回帖 1038 粉丝 20 关注私信	LOCKLOSE 2 5 楼抢的真快... 2007-2-5 21:22 0
mgyxj 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 52 粉丝 0 关注私信	mgyxj 6 楼 F5坐板凳，还有地板没....... 收下慢慢学习^_^ 2007-2-5 21:22 0
skyege 雪币： 229 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 555 粉丝 0 关注私信	skyege 2 7 楼 2楼 2007-02-05,21:21 ------------------------------------------------------------ 沙发 3楼 2007-02-05,21:21 ------------------------------------------------------------ 板凳。。呼…… 2007-2-5 21:23 0
skyege 雪币： 229 活跃值： (70) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 555 粉丝 0 关注私信	skyege 2 8 楼 3楼 2007-02-05,21:21 ------------------------------------------------------------ 板凳。。 4楼 2007-02-05,21:22 ------------------------------------------------------------ 拿个小板凳坐着 5楼 2007-02-05,21:22 ------------------------------------------------------------ 抢的真快... 6楼 2007-02-05,21:22 ------------------------------------------------------------ F5坐板凳，还有地板没....... 收下慢慢学习^_^ 呼呼………… 2007-2-5 21:25 0
xIkUg 雪币： 116 活跃值： (220) 能力值： ( LV12，RANK：370 ) 在线值：发帖 27 回帖 675 粉丝 4 关注私信	xIkUg 9 9 楼 loveboom练就了百毒不侵的本领。。。 2007-2-5 21:32 0
kanxue 雪币： 44229 活跃值： (19965) 能力值： (RANK：350 ) 在线值：发帖 2369 回帖 17027 粉丝 528 关注私信	kanxue 8 10 楼难得这就是传说中的毒王克星？ 2007-2-5 21:48 0
cnbragon 雪币： 3686 活跃值： (1036) 能力值： (RANK：760 ) 在线值：发帖 48 回帖 802 粉丝 9 关注私信	cnbragon 18 11 楼最近被一个spoolsv.exe病毒搞的郁闷死简单说一下：主程序为spoolsv.exe,ASPack加的壳，主要是访问这个网站： http://verify.mir8.info/ 估计是盗传奇账号的？ spoolsv.exe位于C:\Windows\目录下，删除会，大概半个小时后又会出来，没找到还有什么地方会把它弄出来的，把这个样本提交给rising，音信全无，后来今天晚上发现KAV能查出来这个东西了，KAV今天更新的病毒库，看来是新病毒啊，查出来是 Trojan-Downloader.Win32.Delf.bex 现在的问题是：IE会自动访问上面这个网站，然后下载文件被KAV的Web病毒保护发现了： 2007-02-05 21:43:58 恶意 HTTP 对象 <http://verify.mir8.info/EF7E3A91-7123-4000-A255-E0ABAC03B0CA/SDI_20061207.exe/ASPack>: 拒绝访问. 不知道它怎样利用IE自动访问这个网站的？还望爱暴兄指点迷津。 2007-2-5 22:14 0
scship 雪币： 212 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 14 回帖 217 粉丝 1 关注私信	scship 12 楼估计爱暴兄就是这些病毒的作者。。。几千万通缉的啊。。。 2007-2-5 22:21 0
hrbx 雪币： 267 活跃值： (44) 能力值： ( LV9，RANK：330 ) 在线值：发帖 11 回帖 195 粉丝 1 关注私信	hrbx 8 13 楼支持，学习！ 2007-2-5 22:46 0
cnbragon 雪币： 3686 活跃值： (1036) 能力值： (RANK：760 ) 在线值：发帖 48 回帖 802 粉丝 9 关注私信	cnbragon 18 14 楼最初由 cnbragon* 发布* 最近被一个spoolsv.exe病毒搞的郁闷死简单说一下：主程序为spoolsv.exe,ASPack加的壳，主要是访问这个网站： http://verify.mir8.info/ 估计是盗传奇账号的？ spoolsv.exe位于C:\Windows\目录下，删除会，大概半个小时后又会出来，没找到还有什么地方会把它弄出来的，把这个样本提交给rising，音信全无，后来今天晚上发现KAV能查出来这个东西了，KAV今天更新的病毒库，看来是新病毒啊，查出来是 ........ 一晚上，终于搞定这个东西了 2007-2-6 06:58 0
XiaosanAiq 雪币： 296 活跃值： (15) 能力值： ( LV2，RANK：10 ) 在线值：发帖 10 回帖 180 粉丝 0 关注私信	XiaosanAiq 15 楼这个一定要支持！ 2007-2-6 09:07 0
newsearch 雪币： 257 活跃值： (369) 能力值： ( LV12，RANK：370 ) 在线值：发帖 14 回帖 342 粉丝 2 关注私信	newsearch 9 16 楼最初由发布一晚上，终于搞定这个东西了越来越毒了啊。cnbragon怎么搞定的，我也刚刚遇到。汗 2007-2-6 09:07 0
loveboom 雪币： 513 活跃值： (2258) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 687 粉丝 10 关注私信	loveboom 53 17 楼最初由 scship* 发布* 估计爱暴兄就是这些病毒的作者。。。几千万通缉的啊。。。说说笑可以，只是被别人一传十之类的话，你可得打pp哦 2007-2-6 10:01 0
loveboom 雪币： 513 活跃值： (2258) 能力值： ( LV9，RANK：2130 ) 在线值：发帖 100 回帖 687 粉丝 10 关注私信	loveboom 53 18 楼最初由 cnbragon* 发布* 一晚上，终于搞定这个东西了方便的话就把这东西放上来，有时间我看看。 2007-2-6 10:03 0
海风月影雪币： 7309 活跃值： (3778) 能力值： (RANK：1130 ) 在线值：发帖 93 回帖 2308 粉丝 119 关注私信	海风月影 22 19 楼强人 2007-2-6 11:10 0
dewar 雪币： 297 活跃值： (21) 能力值： ( LV9，RANK：330 ) 在线值：发帖 9 回帖 125 粉丝 0 关注私信	dewar 8 20 楼不得不服啊～～！支持！ 2007-2-6 11:30 0
yiyiguxing 雪币： 70 活跃值： (74) 能力值： ( LV4，RANK：50 ) 在线值：发帖 33 回帖 257 粉丝 0 关注私信	yiyiguxing 1 21 楼 loveboom兄真是强啊　　有空教教小弟 2007-2-6 13:02 0
qiweixue 雪币： 258 活跃值： (230) 能力值： ( LV12，RANK：770 ) 在线值：发帖 47 回帖 1136 粉丝 3 关注私信	qiweixue 19 22 楼宝宝,我来晚了,,, 我给你一个顶 2007-2-6 16:03 0
zlmsdn 雪币： 150 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 39 粉丝 0 关注私信	zlmsdn 23 楼 UP "Baobao" 2007-2-6 16:08 0
cnbragon 雪币： 3686 活跃值： (1036) 能力值： (RANK：760 ) 在线值：发帖 48 回帖 802 粉丝 9 关注私信	cnbragon 18 24 楼最初由 newsearch* 发布* 越来越毒了啊。cnbragon怎么搞定的，我也刚刚遇到。汗 spoolsv.exe只是这个马的表面，它只负责点击一个网页，提高其点击率它的主要的模块是在c:\windows\system32\cryptchr.dll里，这个东西是这样加载的 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RegMon32] <WinlogonNotify: RegMon32><cryptchr.dll> [Microsoft Corporation] cryptchr.dll里导出SysLogon和SysLogOff两个函数，SysLogon函数 003E530C >/>mov dword ptr [3E767C], 6DDD00 003E5316 \|>xor eax, eax 003E5318 \|>mov [3E7680], eax 003E531D \|>mov eax, 003E76A8 003E5322 \|>call 003E35B4 003E5327 \|>push 1 003E5329 \|>push 0 003E532B \|>push 003E52DC 003E5330 \|>push 0 003E5332 \|>mov eax, [3E60D8] 003E5337 \|>push eax 003E5338 \|>call <jmp.&winmm.timeSetEvent> 003E533D \|>mov [3E7684], eax 003E5342 \|>call 003E4C44 003E5347 \|>call 003E4D60 003E534C \>retn SysLogOff函数 003E5350 >/$ E8 3BFDFFFF call 003E5090 003E5355 \|. 833D 84763E00 0>cmp dword ptr [3E7684], 0 003E535C \|. 74 0B je short 003E5369 003E535E \|. A1 84763E00 mov eax, [3E7684] 003E5363 \|. 50 push eax 003E5364 \|. E8 ABF7FFFF call <jmp.&winmm.timeKillEvent> 003E5369 \> C3 retn 彻底清除的步骤： 1. 终止spoolsv.exe 2. 使用SRE删除掉这一注册表项[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Notify\RegMon32] <WinlogonNotify: RegMon32><cryptchr.dll> [Microsoft Corporation] 3. 删除c:\windows\system32\cryptchr.dll 删除c:\windows\Temp\FileMap.dat 删除c:\windows\spoolsv.exe 删除C:\Documents and Settings\Username\Local Settings\Temporary Internet Files\Content.IE5\里面所有的东西，特别是SDI_20061207[1].exe 删除C:\Documents and Settings\Username\Local Settings\Temporary Internet Files下面所有的东西 BTW：好像是上了黄网才会感染，当时我开了卡巴，但那天卡巴的病毒库还查不出这个，但昨天升级的病毒库当中就可以查出来了，但也是除标不除本，只删除掉spoolsv.exe，没用。还有，Rising给了回复，说会在新版本中加入对它的查杀，但因为我没有提到cryptchr.dll，估计他们也是除标不除本 2007-2-6 17:18 0
ljy3282393 雪币： 214 活跃值： (15) 能力值： ( LV4，RANK：50 ) 在线值：发帖 2 回帖 426 粉丝 1 关注私信	ljy3282393 1 25 楼支持并学习 2007-2-7 00:22 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复