首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 看雪峰会 看雪商城 证书查询
  1. 看雪社区
  2. 软件逆向
    3. 发新帖
[求助]一个含有病毒的EXE,不幸中了毒,弄了几天都弄不好,请牛人帮忙分析一下
2008-12-30 16:21 8723

[求助]一个含有病毒的EXE,不幸中了毒,弄了几天都弄不好,请牛人帮忙分析一下

rmb 活跃值
2008-12-30 16:21
8723
一个含有病毒的EXE,不幸中了毒,弄了几天都弄不好 ,请牛人帮忙分析一下

症状是:修改IE主页被改成www.6700.cn,上网时弹广告,每隔一段时间会重复一次

暂时只知道会建一个叫BITS的系统服务,然后会释放一个dll文件

然后病毒如何运行就不知道了。

恳请各大牛指点一二

谢谢~

^_^

[培训]内核驱动高级班,冲击BAT一流互联网大厂工 作,每周日13:00-18:00直播授课

上传的附件:
收藏
点赞7
打赏
分享
最新回复 (14)
LNdyxx
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
LNdyxx 2008-12-31 10:06
2
0
现在毒多,我都头疼,谁给我插个U盘,都能让我抽半天
CCDebuger
雪    币: 2506
活跃值: (995)
能力值: (RANK:990 )
在线值:
发帖
回帖
粉丝
私信
CCDebuger 24 2008-12-31 15:12
3
0
原程序是用 NSIS 制作的安装文件,其作用就是同时解压里面的两个文件并执行。解包后有两个文件:llk.exe(Microsoft Visual C++ 7.0,是个连连看的游戏,正常程序),setup5891.exe(FSG 2.0 的壳)。看 setup5891.exe。

脱壳后的文件里面的 DATA 段包含了一个 DLL,可以直接用16进制工具复制出来。从偏移 0x40A0 处选择大小为 0x3B800 的数据,另存为 Clinet001.dll(这个就是复制到系统目录下的 SysAdsnwt.dll)。IDA 静态分析一下脱壳后的文件,可获取以下信息:

首先获取系统目录,如 C:\WINDOWS\system32,复制一个名为 SysAdsnwt.dll 的文件过去。然后在注册表中添加服务:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Parameters 中添加 ServiceDll 项。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BITS\Parameters 中添加 ServiceDll 项。

现在看那个 Clinet001.dll。这个 DLL 就是马的主体了。其检测360,从 http://xubaobot.3322.org/ 下载文件到 C:\WINDOWS\ 并执行,应该是专门用来下载病毒的。解码了里面的几个 URL:

http://xubaobot.3322.org/ifexits.php?ihardcode=00-50-56-C0-00-01
http://xubaobot.3322.org/xtime.php?ihardcode=00-50-56-C0-00-01
http://xubaobot.3322.org/msd.php
http://xubaobot.3322.org/update.php?ihardcode=00-50-56-C0-00-01

可惜都不能访问。

至于修改 IE 主页,没看到相关代码,应该是你运行其他程序出的问题。
附件包含木马原样本、脱壳后的文件、从里面抽出来的 Clinet001.dll 及简单的分析。
解压密码:muma
上传的附件:
冷血书生
雪    币: 443
活跃值: (200)
能力值: ( LV9,RANK:1140 )
在线值:
发帖
回帖
粉丝
私信
冷血书生 28 2008-12-31 16:19
4
0
解压密码多少呢
newjueqi
雪    币: 251
活跃值: (25)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
私信
newjueqi 7 2008-12-31 16:38
5
0
副坛主很强啊,一天就分析出来了
CCDebuger
雪    币: 2506
活跃值: (995)
能力值: (RANK:990 )
在线值:
发帖
回帖
粉丝
私信
CCDebuger 24 2008-12-31 16:47
6
0
这东西分析起来很快的,壳脱了IDA看一下就大致差不多了。就是想看看人家那个网站上还有啥,呵呵
风中紫杉
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
风中紫杉 2008-12-31 16:58
7
0
很强大,菜鸟刚开始学习
冷血书生
雪    币: 443
活跃值: (200)
能力值: ( LV9,RANK:1140 )
在线值:
发帖
回帖
粉丝
私信
冷血书生 28 2008-12-31 16:58
8
0
啊?我还以为有idb学习一下!!!!!!!!!看来还得自己动手!原来是个后门!

难道是………………

后台智能传送服务 (BITS) 是一个 Windows 组件,它可以在前台或后台异步传输文件,为保证其他网络应用程序获得响应而调整传输速度,并在重新启动计算机或重新建立网络连接之后自动恢复文件传输。
  通过BITS可以实现与IIS服务器相互传输文件,但是不影响你浏览页面,也就是可以做到同步或者异步。
  安装微软Win2000以上系统并打开自动更新以后,系统会自动下载并安装后台智能传送服务用来下载系统更新。正常情况下可以允许安装。
rmb
雪    币: 216
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
rmb 2008-12-31 17:03
9
0
非常感谢CCDebuger的帮助
我调试这个setup5891.exe时觉得很奇怪,因为这个EXE只是新增了一个服务,然后生成了一个DLL,然后就好像结束了。

现在我的理解是BITS这个服务呢是随系统启动的,启动之后就会运行DLL文件,然后病毒就发作了,我这样理解对吗?

然后IE被修改的问题应该不是这个EXE引起的,因为我找到另外一个EXE文件,里面是有www.6700.cn字样的,初步分析应该就是这个EXE搞得鬼。

再次感谢CCDebuger的指点~
^_^

PS:
CCDebuger你真是太强了,我是动态调试,一条条指令跟,然后根据调用的API分析,哎,惭愧,惭愧~
lzwx
雪    币: 174
活跃值: (45)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
私信
lzwx 1 2009-1-7 16:10
10
0
呵呵...
原来是这玩意啊...
这是个远程控制的木马...
我曾经看过这玩意的源码...
pentacleNC
雪    币: 279
活跃值: (160)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
私信
pentacleNC 4 2009-1-8 13:15
11
0
驱动马~
www.6700.cn改主页的关键在于驱动。。

另外,还有快速启动栏的快捷方式被修改了。。

如果还未修复过来的话,可以用一下这个工具http://dl.360safe.com/360compkill.zip

或是自己手工用冰刃清除。。
Cyane
雪    币: 388
活跃值: (25)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
私信
Cyane 1 2009-1-8 19:44
12
0
CCDebuger分析的透彻 学习~
雪yaojun
雪    币: 120
活跃值: (160)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
雪yaojun 2009-1-9 10:19
13
0
改主页。。。。

HO 难道浏览器遭劫,冰忍可以看下BHO。
aceivy
雪    币: 232
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
aceivy 2009-8-28 11:49
14
0
学习了,思路不错啊
riusksk
雪    币: 431
活跃值: (1875)
能力值: ( LV17,RANK:1820 )
在线值:
发帖
回帖
粉丝
私信
riusksk 41 2009-8-28 17:48
15
0
路过留名               ……
游客
登录 | 注册 方可回帖
 回帖  表情 雪币赚取及消费
高级回复
返回