首页
社区
课程
招聘
[求助]被一个强悍的病毒整疯了
发表于: 2007-9-18 23:37 8901

[求助]被一个强悍的病毒整疯了

2007-9-18 23:37
8901
相信我,能让我跑到这里来寻求帮助的毒绝对比熊猫牛

不知道是不是2007年最牛病毒.......

我曾经yy过一种病毒,无进程,无硬盘文件,文件寄生,利用文件冗余存储自己,不改变文件大小,ring0权限直接突破一切防御。

今天,我曾经yy的超级病毒出现了,而我成了第一批受害者

几乎符合我以前yy的所有特性,他把自己放在文件的冗余部分,文件大小,修改日期没有任何改变

这是一个2.0.0.0的firefox的可执行文件,可以看到文件头部被修改一部分,原来的冗余现在是一段新的代码。

我不知道这个病毒是能自我变形或者是个downloader总之下面这个mpc的可执行文件和firefox的代码完全不一样。

似乎有ring0权限......能够修改我正在运行的软件,我的firefox使用未被感染文件可以启动,但不久就出错跳出,之后便被完全感染

对于这个东西我已经完全没言语了,能写出这么个强大程序的绝对是牛人,如果哪位是杀毒软件的工程师救救我吧,如果我想干掉这个毒唯一的办法是格式化所有硬盘分区了,因为根本对他感染了哪些文件无从查起....

我没有进行反汇编,因为我不认为我的水平可以解决任何问题...

最后是样本
9.19 21:00样本更新
http://www.hanchen.net/x/virus.rar

[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

收藏
免费 0
支持
分享
最新回复 (27)
雪    币: 242
活跃值: (14)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
2
谢谢样本~~
2007-9-19 00:02
0
雪    币: 242
活跃值: (14)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
另外,能不能帮忙给个你给的EXE文件的Mplayerc相应版本?
谢谢了
2007-9-19 00:05
0
雪    币: 242
活跃值: (14)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
4
我不是专业的病毒分析者

Mplayerc.exe这个样本里确实有病毒,但此文件有问题,在我的电脑上是不能加载的,不知道在您那里是否可以运行。因为Mplayerc.exe本来就有几MB,静态分析时有些数据无法分辨到底是不是病毒的。
firefox3.exe入口代码没有找到类似于Mplayerc.exe的感染特征,因为没有原始文件,无法对比,并执行几分钟后都没有监视到的对EXE文件的写操作。

LZ能不能提供一个几百K的“活”样本?
2007-9-19 05:12
0
雪    币: 141
活跃值: (23)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
系统太大了,分析起来不容易,
建议使用Dos,病毒就该灭绝了~~yy,哈哈
2007-9-19 08:17
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
6
dos时代的病毒比现在牛.....
你可以找下natas 4744

whtyy大哥加我msn把 你要什么样本我都提供
caohc@hotmail.com
mpc版本好象是
http://www.crsky.com/soft/7495.html

我正在上班,到家才能提供全部资料
2007-9-19 08:55
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
可怜   可怜
2007-9-19 08:57
0
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
8
这个病毒直接改了入口代码。。。加了个CALL跳到自己的代码,只要把入口代码的头5个字节改回来就可以用了
2007-9-19 10:30
0
雪    币: 260
活跃值: (102)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
9
感染可执行文件的病毒?最讨厌这样的病毒了!!
2007-9-19 10:42
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
问题是检查啊检查 现在满硬盘都是毒........
2007-9-19 11:22
0
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
11
判断入口代码是否为E8
根据跳转的地址,找到病毒代码处,做特征识别就可以了

非变形病毒
2007-9-19 11:24
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
您说的是第二个mpc吧

那第一个是什么东东....
2007-9-19 13:01
0
雪    币: 242
活跃值: (14)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
13
mplayer.exe是被改了入口
但样本firefox3.exe中没有,所以有可能病毒用了些EPO手段,仅仅处理入口的“CALL”估计解决不了
2007-9-19 14:39
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
瑞星居然放回消息说不是病毒........
国产杀毒软件真是不能相信
2007-9-19 15:31
0
雪    币: 846
活跃值: (221)
能力值: (RANK:570 )
在线值:
发帖
回帖
粉丝
15
在确认是病毒的情况下,分析EPO还是挺简单的,对比感染前后,不同的地址,反汇编一看就明白了。。。问题是我不知道LZ的是那个版本FIREFOX。。。而且我也不用那东西
2007-9-19 20:34
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
我等下更新所有样本......
2007-9-19 20:47
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
9.19 21:00样本更新
http://www.hanchen.net/x/virus.rar

添加了一个样本 所有样本附上了感染前的文件
2007-9-19 21:01
0
雪    币: 242
活跃值: (14)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
18
人家楼主是想有个批量的解决办法。显然不能用“一看就明白”的方法识别。

病毒也不大,7K多点。
不过看那么多硬编码和重定位代码实在头大~没动力分析。等卡巴收这个东西把
2007-9-19 21:06
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
持观望态度。。。
2007-9-19 22:43
0
雪    币: 184
活跃值: (108)
能力值: ( LV9,RANK:410 )
在线值:
发帖
回帖
粉丝
20
楼主给的样本也太大了吧??

windows目录下那么多小文件,随便给几个就好了啊.寒~~!
2007-9-20 00:05
0
雪    币: 184
活跃值: (108)
能力值: ( LV9,RANK:410 )
在线值:
发帖
回帖
粉丝
21
1. 计算出virtualalloc地址,申请1DB7的空间
2.loadlib  WS2_.32dll,mpr.dll,urlmon.dll.wininet.dll
3.get currentprocessID ,open process
4.writeprocess (address 4378ce)
5.打开virtualproctec的写权限(本程序)
6.调用winlogon.exe(提权),打开远程调试
7.复制explorer.exe 到临时目录为er.exe,打开explorer.exe进程,改写它.

呵呵,东西不大,匆匆看看的,有失误别怪.
2007-9-20 01:08
0
雪    币: 242
活跃值: (14)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
22
没看完,跟恢复被感染的文件有关的部分为

感染特征:
入口点处是CALL指令,CALL的内容仅仅是一条JMP指令,此JMP指令跳转到真正的病毒体的起始位置
病毒的起始位置有典型的重定位指令
.text:00401000 E8 00 00 00 00                    call    $+5
.text:00401005 5B                                pop     ebx

恢复:
1)入口点被覆盖的5个字节保存在病毒体的0x138偏移处
2)用于间接跳转的指令占用的5个字节,保存在病毒体偏移的0x133处
其他修改的地方应该不影响普通程序运行,所以恢复这10个字节应该就行了
楼主自己写程序吧

基本上,这个病毒没有分析的价值
2007-9-20 03:19
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
把满硬盘的文件的前五个字节都改回来?天方夜谭吧
2007-9-20 08:16
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
24
很有价值 多谢......
我去研究研究explorer.exe
只要能找出这些家伙删掉就行了

这个病毒对感染目标很苛刻,并不是什么文件都感染的,必须是能不改变文件大小寄生的

或者说冗余大的
2007-9-20 08:59
0
雪    币: 242
活跃值: (14)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
25
有什么奇怪吗?反病毒软件的雏形就是这样的。
2007-9-20 12:59
0
游客
登录 | 注册 方可回帖
返回
//