[求助]被一个强悍的病毒整疯了-经典问答-看雪-安全社区|安全招聘|kanxue.com

[求助]被一个强悍的病毒整疯了

发表于: 2007-9-18 23:37 8875

[求助]被一个强悍的病毒整疯了

vaststars

2007-9-18 23:37

8875

相信我，能让我跑到这里来寻求帮助的毒绝对比熊猫牛

不知道是不是2007年最牛病毒.......

我曾经yy过一种病毒，无进程，无硬盘文件，文件寄生，利用文件冗余存储自己，不改变文件大小，ring0权限直接突破一切防御。

今天，我曾经yy的超级病毒出现了，而我成了第一批受害者

几乎符合我以前yy的所有特性，他把自己放在文件的冗余部分，文件大小，修改日期没有任何改变

这是一个2.0.0.0的firefox的可执行文件，可以看到文件头部被修改一部分，原来的冗余现在是一段新的代码。

我不知道这个病毒是能自我变形或者是个downloader总之下面这个mpc的可执行文件和firefox的代码完全不一样。

似乎有ring0权限......能够修改我正在运行的软件，我的firefox使用未被感染文件可以启动，但不久就出错跳出，之后便被完全感染

对于这个东西我已经完全没言语了，能写出这么个强大程序的绝对是牛人，如果哪位是杀毒软件的工程师救救我吧，如果我想干掉这个毒唯一的办法是格式化所有硬盘分区了，因为根本对他感染了哪些文件无从查起....

我没有进行反汇编，因为我不认为我的水平可以解决任何问题...

最后是样本
9.19 21:00样本更新
http://www.hanchen.net/x/virus.rar

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・1

免费・0

支持

最新回复 (27) 1 2 ▶
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 2 楼谢谢样本～～ 2007-9-19 00:02 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 3 楼另外，能不能帮忙给个你给的EXE文件的Mplayerc相应版本？谢谢了 2007-9-19 00:05 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 4 楼我不是专业的病毒分析者 Mplayerc.exe这个样本里确实有病毒，但此文件有问题，在我的电脑上是不能加载的，不知道在您那里是否可以运行。因为Mplayerc.exe本来就有几MB，静态分析时有些数据无法分辨到底是不是病毒的。 firefox3.exe入口代码没有找到类似于Mplayerc.exe的感染特征，因为没有原始文件，无法对比，并执行几分钟后都没有监视到的对EXE文件的写操作。 LZ能不能提供一个几百K的“活”样本？ 2007-9-19 05:12 0
speeches 雪币： 141 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 146 回帖 301 粉丝 2 关注私信	speeches 5 楼系统太大了，分析起来不容易，建议使用Dos，病毒就该灭绝了～～yy，哈哈 2007-9-19 08:17 0
vaststars 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	vaststars 6 楼 dos时代的病毒比现在牛..... 你可以找下natas 4744 whtyy大哥加我msn把你要什么样本我都提供 caohc@hotmail.com mpc版本好象是 http://www.crsky.com/soft/7495.html 我正在上班,到家才能提供全部资料 2007-9-19 08:55 0
天线宝宝雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 168 粉丝 0 关注私信	天线宝宝 7 楼可怜可怜 2007-9-19 08:57 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 8 楼这个病毒直接改了入口代码。。。加了个CALL跳到自己的代码，只要把入口代码的头5个字节改回来就可以用了 2007-9-19 10:30 0
firefly 雪币： 260 活跃值： (102) 能力值： ( LV9，RANK：170 ) 在线值：发帖 15 回帖 321 粉丝 0 关注私信	firefly 4 9 楼感染可执行文件的病毒？最讨厌这样的病毒了！！ 2007-9-19 10:42 0
vaststars 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	vaststars 10 楼问题是检查啊检查现在满硬盘都是毒........ 2007-9-19 11:22 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 11 楼判断入口代码是否为E8 根据跳转的地址，找到病毒代码处，做特征识别就可以了非变形病毒 2007-9-19 11:24 0
vaststars 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	vaststars 12 楼您说的是第二个mpc吧那第一个是什么东东.... 2007-9-19 13:01 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 13 楼 mplayer.exe是被改了入口但样本firefox3.exe中没有，所以有可能病毒用了些EPO手段，仅仅处理入口的“CALL”估计解决不了 2007-9-19 14:39 0
vaststars 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	vaststars 14 楼瑞星居然放回消息说不是病毒........ 国产杀毒软件真是不能相信 2007-9-19 15:31 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 15 楼在确认是病毒的情况下，分析EPO还是挺简单的，对比感染前后，不同的地址，反汇编一看就明白了。。。问题是我不知道LZ的是那个版本FIREFOX。。。而且我也不用那东西 2007-9-19 20:34 0
vaststars 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	vaststars 16 楼我等下更新所有样本...... 2007-9-19 20:47 0
vaststars 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	vaststars 17 楼 9.19 21:00样本更新 http://www.hanchen.net/x/virus.rar 添加了一个样本所有样本附上了感染前的文件 2007-9-19 21:01 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 18 楼人家楼主是想有个批量的解决办法。显然不能用“一看就明白”的方法识别。病毒也不大，7K多点。不过看那么多硬编码和重定位代码实在头大～没动力分析。等卡巴收这个东西把 2007-9-19 21:06 0
fiagb 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	fiagb 19 楼持观望态度。。。 2007-9-19 22:43 0
hnhuqiong 雪币： 184 活跃值： (108) 能力值： ( LV9，RANK：410 ) 在线值：发帖 47 回帖 524 粉丝 3 关注私信	hnhuqiong 10 20 楼楼主给的样本也太大了吧?? windows目录下那么多小文件,随便给几个就好了啊.寒~~! 2007-9-20 00:05 0
hnhuqiong 雪币： 184 活跃值： (108) 能力值： ( LV9，RANK：410 ) 在线值：发帖 47 回帖 524 粉丝 3 关注私信	hnhuqiong 10 21 楼 1. 计算出virtualalloc地址,申请1DB7的空间 2.loadlib WS2_.32dll,mpr.dll,urlmon.dll.wininet.dll 3.get currentprocessID ,open process 4.writeprocess (address 4378ce) 5.打开virtualproctec的写权限(本程序) 6.调用winlogon.exe(提权),打开远程调试 7.复制explorer.exe 到临时目录为er.exe,打开explorer.exe进程,改写它. 呵呵,东西不大,匆匆看看的,有失误别怪. 2007-9-20 01:08 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 22 楼没看完，跟恢复被感染的文件有关的部分为感染特征：入口点处是CALL指令，CALL的内容仅仅是一条JMP指令，此JMP指令跳转到真正的病毒体的起始位置病毒的起始位置有典型的重定位指令 .text:00401000 E8 00 00 00 00 call $+5 .text:00401005 5B pop ebx 恢复： 1)入口点被覆盖的5个字节保存在病毒体的0x138偏移处 2)用于间接跳转的指令占用的5个字节，保存在病毒体偏移的0x133处其他修改的地方应该不影响普通程序运行，所以恢复这10个字节应该就行了楼主自己写程序吧基本上，这个病毒没有分析的价值 2007-9-20 03:19 0
czbbhack 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	czbbhack 23 楼把满硬盘的文件的前五个字节都改回来?天方夜谭吧 2007-9-20 08:16 0
vaststars 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	vaststars 24 楼很有价值多谢...... 我去研究研究explorer.exe 只要能找出这些家伙删掉就行了这个病毒对感染目标很苛刻,并不是什么文件都感染的,必须是能不改变文件大小寄生的或者说冗余大的 2007-9-20 08:59 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 25 楼有什么奇怪吗？反病毒软件的雏形就是这样的。 2007-9-20 12:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

vaststars

发帖

回帖

RANK

关注

私信

他的文章

[求助]被一个强悍的病毒整疯了 8876

关于我们

联系我们

企业服务

看雪公众号

最新回复 (27) 1 2 ▶
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 2 楼谢谢样本～～ 2007-9-19 00:02 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 3 楼另外，能不能帮忙给个你给的EXE文件的Mplayerc相应版本？谢谢了 2007-9-19 00:05 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 4 楼我不是专业的病毒分析者 Mplayerc.exe这个样本里确实有病毒，但此文件有问题，在我的电脑上是不能加载的，不知道在您那里是否可以运行。因为Mplayerc.exe本来就有几MB，静态分析时有些数据无法分辨到底是不是病毒的。 firefox3.exe入口代码没有找到类似于Mplayerc.exe的感染特征，因为没有原始文件，无法对比，并执行几分钟后都没有监视到的对EXE文件的写操作。 LZ能不能提供一个几百K的“活”样本？ 2007-9-19 05:12 0
speeches 雪币： 141 活跃值： (23) 能力值： ( LV2，RANK：10 ) 在线值：发帖 146 回帖 301 粉丝 2 关注私信	speeches 5 楼系统太大了，分析起来不容易，建议使用Dos，病毒就该灭绝了～～yy，哈哈 2007-9-19 08:17 0
vaststars 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	vaststars 6 楼 dos时代的病毒比现在牛..... 你可以找下natas 4744 whtyy大哥加我msn把你要什么样本我都提供 caohc@hotmail.com mpc版本好象是 http://www.crsky.com/soft/7495.html 我正在上班,到家才能提供全部资料 2007-9-19 08:55 0
天线宝宝雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 168 粉丝 0 关注私信	天线宝宝 7 楼可怜可怜 2007-9-19 08:57 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 8 楼这个病毒直接改了入口代码。。。加了个CALL跳到自己的代码，只要把入口代码的头5个字节改回来就可以用了 2007-9-19 10:30 0
firefly 雪币： 260 活跃值： (102) 能力值： ( LV9，RANK：170 ) 在线值：发帖 15 回帖 321 粉丝 0 关注私信	firefly 4 9 楼感染可执行文件的病毒？最讨厌这样的病毒了！！ 2007-9-19 10:42 0
vaststars 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	vaststars 10 楼问题是检查啊检查现在满硬盘都是毒........ 2007-9-19 11:22 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 11 楼判断入口代码是否为E8 根据跳转的地址，找到病毒代码处，做特征识别就可以了非变形病毒 2007-9-19 11:24 0
vaststars 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	vaststars 12 楼您说的是第二个mpc吧那第一个是什么东东.... 2007-9-19 13:01 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 13 楼 mplayer.exe是被改了入口但样本firefox3.exe中没有，所以有可能病毒用了些EPO手段，仅仅处理入口的“CALL”估计解决不了 2007-9-19 14:39 0
vaststars 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	vaststars 14 楼瑞星居然放回消息说不是病毒........ 国产杀毒软件真是不能相信 2007-9-19 15:31 0
笨笨雄雪币： 846 活跃值： (221) 能力值： (RANK：570 ) 在线值：发帖 212 回帖 3620 粉丝 22 关注私信	笨笨雄 14 15 楼在确认是病毒的情况下，分析EPO还是挺简单的，对比感染前后，不同的地址，反汇编一看就明白了。。。问题是我不知道LZ的是那个版本FIREFOX。。。而且我也不用那东西 2007-9-19 20:34 0
vaststars 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	vaststars 16 楼我等下更新所有样本...... 2007-9-19 20:47 0
vaststars 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	vaststars 17 楼 9.19 21:00样本更新 http://www.hanchen.net/x/virus.rar 添加了一个样本所有样本附上了感染前的文件 2007-9-19 21:01 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 18 楼人家楼主是想有个批量的解决办法。显然不能用“一看就明白”的方法识别。病毒也不大，7K多点。不过看那么多硬编码和重定位代码实在头大～没动力分析。等卡巴收这个东西把 2007-9-19 21:06 0
fiagb 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 0 关注私信	fiagb 19 楼持观望态度。。。 2007-9-19 22:43 0
hnhuqiong 雪币： 184 活跃值： (108) 能力值： ( LV9，RANK：410 ) 在线值：发帖 47 回帖 524 粉丝 3 关注私信	hnhuqiong 10 20 楼楼主给的样本也太大了吧?? windows目录下那么多小文件,随便给几个就好了啊.寒~~! 2007-9-20 00:05 0
hnhuqiong 雪币： 184 活跃值： (108) 能力值： ( LV9，RANK：410 ) 在线值：发帖 47 回帖 524 粉丝 3 关注私信	hnhuqiong 10 21 楼 1. 计算出virtualalloc地址,申请1DB7的空间 2.loadlib WS2_.32dll,mpr.dll,urlmon.dll.wininet.dll 3.get currentprocessID ,open process 4.writeprocess (address 4378ce) 5.打开virtualproctec的写权限(本程序) 6.调用winlogon.exe(提权),打开远程调试 7.复制explorer.exe 到临时目录为er.exe,打开explorer.exe进程,改写它. 呵呵,东西不大,匆匆看看的,有失误别怪. 2007-9-20 01:08 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 22 楼没看完，跟恢复被感染的文件有关的部分为感染特征：入口点处是CALL指令，CALL的内容仅仅是一条JMP指令，此JMP指令跳转到真正的病毒体的起始位置病毒的起始位置有典型的重定位指令 .text:00401000 E8 00 00 00 00 call $+5 .text:00401005 5B pop ebx 恢复： 1)入口点被覆盖的5个字节保存在病毒体的0x138偏移处 2)用于间接跳转的指令占用的5个字节，保存在病毒体偏移的0x133处其他修改的地方应该不影响普通程序运行，所以恢复这10个字节应该就行了楼主自己写程序吧基本上，这个病毒没有分析的价值 2007-9-20 03:19 0
czbbhack 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 7 粉丝 0 关注私信	czbbhack 23 楼把满硬盘的文件的前五个字节都改回来?天方夜谭吧 2007-9-20 08:16 0
vaststars 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 14 粉丝 0 关注私信	vaststars 24 楼很有价值多谢...... 我去研究研究explorer.exe 只要能找出这些家伙删掉就行了这个病毒对感染目标很苛刻,并不是什么文件都感染的,必须是能不改变文件大小寄生的或者说冗余大的 2007-9-20 08:59 0
whtyy 雪币： 242 活跃值： (14) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 356 粉丝 0 关注私信	whtyy 1 25 楼有什么奇怪吗？反病毒软件的雏形就是这样的。 2007-9-20 12:59 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复