首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]简单病毒RavMon.exe的分析[原创]
发表于: 2008-11-8 20:40 11391

[原创]简单病毒RavMon.exe的分析[原创]

petnt 活跃值
12
2008-11-8 20:40
11391
【文章标题】: 简单病毒RavMon.exe的分析
【文章作者】: petnt
【作者邮箱】: petnt@sohu.com
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
  爱机裸奔数月,终于不幸中招。没想到第一次就碰上个软柿子,是菜菜们很好的试练品,嘿嘿,解剖一下供大家分享。

  病毒主要文件为RavMon.exe,AutoRun.inf、SVCHOST.EXE、SVCHOST.INI、MDM.exe文件均可由其生成。系统感染病毒后,会在本地磁盘和可移动磁盘中根目录下生成RavMon.exe、AutoRun.inf两个文件。Windows目录下生成SVCHOST.EXE、SVCHOST.INI、MDM.exe三个文件。

  病毒运行会创建一个隐藏窗口,进程名为SVCHOST.EXE(RvaMon.exe的复制品,仅文件名不同),MDM.exe会在病毒运行中释放出来,主要用于修改注册表使病毒自运行。

  在病毒体窗口事件中,主要处理了3个事件:WM_CREATE,WM_TIMER,WM_DEVICECHANGE。

  •   在WM_CREATE事件过程中,主要创建了两个定时器,并更改注册表隐藏文件。
  •   定时器1(30秒触发一次)用来感染本地磁盘和可移动磁盘。
  •   定时器2(5分钟触发一次)用来联网,下木马并运行木马。(猜测是下木马并设置木马自运行,因为病毒比较老,网已经联不通了)
  •   在WM_DEVICECHANGE事件过程中,主要是用来感染可移动磁盘。

    •   可执行文件都加了壳,病毒有对文件的MD5校验,可带壳调试。到达程序入口处之后,代码都一目了然。在此就不罗列代码了。附件中有我调试时用的脚本、病毒样本、一个简单的运行流程图和一个自制的专杀。
     

    msgyn "确定要运行本脚本吗?"
    cmp $RESULT,1
    jne @end

    bp 00414202
    esto
    bp 004038bb
    bc 00414202
    esto
    bp 00403a41
    cmt 00403a41,"关键CALL"
    bp 00403a00
    lbl 00403390,"strncpy"
    lbl 00403360,"strrchr"
    lbl 004032a0,"strchr"
    lbl 00402370,"修改注册表,隐藏文件"
    bp 00401700
    lbl 004030d0,"计算文件MD5值"
    cmt 00401700,"运行的是否是系统目录里的svchost"
    bp 00401935
    bp 0040186a
    cmt 0040186a,"如果发现已经运行了窗口则跳走"
    bp 00401042
    bp 0040105d
    cmt 0040188e,"根据时间产生随机字串"
    cmt 0040105d,"获取网络地址"
    bp 00401042// WM_CREATE处理函数
    bp 0040109e//WM_TIMER处理函数
    bp 00401521//WM_DEVICECHANG消息处理函数
    cmt 0040106c,"文件的MD5值校验"
    cmt 00401099,"注册表设置"
    cmt 004010ad,"以下代码为计时器2的过程(5分钟)"
    cmt 004010a6,"跳到计时器1的过程(30秒)"
    cmt 0040145e,"c:\windows\mdm.exe MD5"
    bp 004013c8
    bp 00401150
    lbl 00401150,"联网,下木马"
    cmt 004013c8,"比较磁盘根目录下的ravmon.exe antorun.inf的MD5值,都相符返回真"
    cmt 004013d2,"相符则跳走"
    cmt 004013da,"复制自身,重写autorun.inf到相应根目录"
    cmt 00401468,"MDM.EXE不存在则跳走"
    cmt 004014a2,"MDM.EXE MD5值符合则跳走"
    cmt 004014ac,"重新复制MDM.EXE"
    cmt 004014bc,"检查注册表是否已经设置MDM.EXE自运行"
    cmt 00401588,"感染磁盘"
    pause

    bc 00401150
    bc 004013c8
    bc 0040186a
    bc 004038bb
    bc 00403a41
    bc 00401700
    bc 00401935
    bc 00401042
    bc 0040105d
    bc 00401042
    bc 0040109e
    bc 00401521
    bc 00403a00

    @end:
    ret 

    附件解压密码:pediy
    --------------------------------------------------------------------------------
    【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!

                                                           2008年11月08日 20:22:52

    [培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法

    上传的附件:
    收藏
    免费 7
    支持
    分享
    最新回复 (15)
    xiaofu
    雪    币: 1564
    活跃值: (3572)
    能力值: ( LV13,RANK:420 )
    在线值:
    发帖
    回帖
    粉丝
    私信
    2
    版主快快+精华,
    2008-11-8 22:33
    0
    xiaofu
    雪    币: 1564
    活跃值: (3572)
    能力值: ( LV13,RANK:420 )
    在线值:
    发帖
    回帖
    粉丝
    私信
    3
    牛人。膜拜ing.我现在连VC++也不会呢,哎
    2008-11-9 13:21
    0
    zhendu
    雪    币: 202
    活跃值: (10)
    能力值: ( LV2,RANK:10 )
    在线值:
    发帖
    回帖
    粉丝
    私信
    4
    呵呵!!!不错哦~!!
    2008-11-9 20:30
    0
    suna
    雪    币: 200
    活跃值: (10)
    能力值: ( LV2,RANK:10 )
    在线值:
    发帖
    回帖
    粉丝
    私信
    5
    下载,学习中,谢谢
    2008-11-9 22:02
    0
    zzlya
    雪    币: 6327
    活跃值: (2189)
    能力值: ( LV2,RANK:10 )
    在线值:
    发帖
    回帖
    粉丝
    私信
    6
    详细过程都在附件里?
    2008-11-11 13:27
    0
    dldw3s
    雪    币: 200
    活跃值: (10)
    能力值: ( LV2,RANK:10 )
    在线值:
    发帖
    回帖
    粉丝
    私信
    7
    很好,学习学习~~~~~
    2008-11-11 17:00
    0
    wswangshao
    雪    币: 200
    活跃值: (10)
    能力值: ( LV2,RANK:10 )
    在线值:
    发帖
    回帖
    粉丝
    私信
    8
    苦恼的汇编语言啊!!!!
    先下下来看看,那基本的14个命令还没弄明白呢。郁闷。
    2008-11-11 21:39
    0
    wswangshao
    雪    币: 200
    活跃值: (10)
    能力值: ( LV2,RANK:10 )
    在线值:
    发帖
    回帖
    粉丝
    私信
    9
    哈哈,楼主太仔细了,连流程图都给画出来了。哈哈。
    2008-11-11 21:41
    0
    newjueqi
    雪    币: 251
    活跃值: (25)
    能力值: ( LV9,RANK:290 )
    在线值:
    发帖
    回帖
    粉丝
    私信
    10
    petnt大侠,根据你提供的病毒样品写了这个病毒的汇编源码分析(http://bbs.pediy.com/showthread.php?t=76544),请多多指教

    问一个问题,病毒对文件的MD5校验是怎么实现?
    2008-11-13 12:25
    0
    scorpion
    雪    币: 201
    活跃值: (10)
    能力值: ( LV2,RANK:10 )
    在线值:
    发帖
    回帖
    粉丝
    私信
    11
    楼主仔细~学习
    2008-11-13 16:23
    0
    tjszlqq
    雪    币: 1185
    活跃值: (2041)
    能力值: ( LV4,RANK:50 )
    在线值:
    发帖
    回帖
    粉丝
    私信
    12
    支持一下,以前看到你感叹什么时候才能分析木马,想不到你终于会了啊,一年过去了,不过我的水平不进反退,
    2008-11-18 16:11
    0
    bbadsl
    雪    币: 309
    活跃值: (10)
    能力值: ( LV2,RANK:10 )
    在线值:
    发帖
    回帖
    粉丝
    私信
    13
    楼主是我学习的榜样,谢谢分享
    2009-8-20 11:39
    0
    ipandora
    雪    币: 37
    活跃值: (20)
    能力值: ( LV2,RANK:10 )
    在线值:
    发帖
    回帖
    粉丝
    私信
    14
    感谢楼主的提供谢谢
    2009-9-14 20:51
    0
    zyr零零发
    雪    币: 808
    活跃值: (10)
    能力值: ( LV5,RANK:60 )
    在线值:
    发帖
    回帖
    粉丝
    私信
    15
    The data I just wanted is wonderful.Thank you very much.
    2010-1-18 10:51
    0
    昨夜风
    雪    币: 34
    活跃值: (10)
    能力值: ( LV2,RANK:10 )
    在线值:
    发帖
    回帖
    粉丝
    私信
    16
    很强大..:
    2010-1-18 22:46
    0
    游客
    登录 | 注册 方可回帖
    回帖 表情 雪币赚取及消费
    高级回复
    返回
    //