首页
社区
课程
招聘
[求助]一个含有病毒的EXE,不幸中了毒,弄了几天都弄不好,请牛人帮忙分析一下
发表于: 2008-12-30 16:21 9151

[求助]一个含有病毒的EXE,不幸中了毒,弄了几天都弄不好,请牛人帮忙分析一下

2008-12-30 16:21
9151

一个含有病毒的EXE,不幸中了毒,弄了几天都弄不好 ,请牛人帮忙分析一下

症状是:修改IE主页被改成www.6700.cn,上网时弹广告,每隔一段时间会重复一次

暂时只知道会建一个叫BITS的系统服务,然后会释放一个dll文件

然后病毒如何运行就不知道了。

恳请各大牛指点一二

谢谢~

^_^


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 7
支持
分享
最新回复 (14)
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
现在毒多,我都头疼,谁给我插个U盘,都能让我抽半天
2008-12-31 10:06
0
雪    币: 2506
活跃值: (1025)
能力值: (RANK:990 )
在线值:
发帖
回帖
粉丝
3
原程序是用 NSIS 制作的安装文件,其作用就是同时解压里面的两个文件并执行。解包后有两个文件:llk.exe(Microsoft Visual C++ 7.0,是个连连看的游戏,正常程序),setup5891.exe(FSG 2.0 的壳)。看 setup5891.exe。

脱壳后的文件里面的 DATA 段包含了一个 DLL,可以直接用16进制工具复制出来。从偏移 0x40A0 处选择大小为 0x3B800 的数据,另存为 Clinet001.dll(这个就是复制到系统目录下的 SysAdsnwt.dll)。IDA 静态分析一下脱壳后的文件,可获取以下信息:

首先获取系统目录,如 C:\WINDOWS\system32,复制一个名为 SysAdsnwt.dll 的文件过去。然后在注册表中添加服务:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\BITS\Parameters 中添加 ServiceDll 项。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet003\Services\BITS\Parameters 中添加 ServiceDll 项。

现在看那个 Clinet001.dll。这个 DLL 就是马的主体了。其检测360,从 http://xubaobot.3322.org/ 下载文件到 C:\WINDOWS\ 并执行,应该是专门用来下载病毒的。解码了里面的几个 URL:

http://xubaobot.3322.org/ifexits.php?ihardcode=00-50-56-C0-00-01
http://xubaobot.3322.org/xtime.php?ihardcode=00-50-56-C0-00-01
http://xubaobot.3322.org/msd.php
http://xubaobot.3322.org/update.php?ihardcode=00-50-56-C0-00-01

可惜都不能访问。

至于修改 IE 主页,没看到相关代码,应该是你运行其他程序出的问题。
附件包含木马原样本、脱壳后的文件、从里面抽出来的 Clinet001.dll 及简单的分析。
解压密码:muma
上传的附件:
2008-12-31 15:12
0
雪    币: 443
活跃值: (200)
能力值: ( LV9,RANK:1140 )
在线值:
发帖
回帖
粉丝
4
解压密码多少呢
2008-12-31 16:19
0
雪    币: 251
活跃值: (25)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
5
副坛主很强啊,一天就分析出来了
2008-12-31 16:38
0
雪    币: 2506
活跃值: (1025)
能力值: (RANK:990 )
在线值:
发帖
回帖
粉丝
6
这东西分析起来很快的,壳脱了IDA看一下就大致差不多了。就是想看看人家那个网站上还有啥,呵呵
2008-12-31 16:47
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
7
很强大,菜鸟刚开始学习
2008-12-31 16:58
0
雪    币: 443
活跃值: (200)
能力值: ( LV9,RANK:1140 )
在线值:
发帖
回帖
粉丝
8
啊?我还以为有idb学习一下!!!!!!!!!看来还得自己动手!原来是个后门!

难道是………………

后台智能传送服务 (BITS) 是一个 Windows 组件,它可以在前台或后台异步传输文件,为保证其他网络应用程序获得响应而调整传输速度,并在重新启动计算机或重新建立网络连接之后自动恢复文件传输。
  通过BITS可以实现与IIS服务器相互传输文件,但是不影响你浏览页面,也就是可以做到同步或者异步。
  安装微软Win2000以上系统并打开自动更新以后,系统会自动下载并安装后台智能传送服务用来下载系统更新。正常情况下可以允许安装。
2008-12-31 16:58
0
雪    币: 216
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
rmb
9
非常感谢CCDebuger的帮助
我调试这个setup5891.exe时觉得很奇怪,因为这个EXE只是新增了一个服务,然后生成了一个DLL,然后就好像结束了。

现在我的理解是BITS这个服务呢是随系统启动的,启动之后就会运行DLL文件,然后病毒就发作了,我这样理解对吗?

然后IE被修改的问题应该不是这个EXE引起的,因为我找到另外一个EXE文件,里面是有www.6700.cn字样的,初步分析应该就是这个EXE搞得鬼。

再次感谢CCDebuger的指点~
^_^

PS:
CCDebuger你真是太强了,我是动态调试,一条条指令跟,然后根据调用的API分析,哎,惭愧,惭愧~
2008-12-31 17:03
0
雪    币: 174
活跃值: (45)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
10
呵呵...
原来是这玩意啊...
这是个远程控制的木马...
我曾经看过这玩意的源码...
2009-1-7 16:10
0
雪    币: 279
活跃值: (160)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
11
驱动马~
www.6700.cn改主页的关键在于驱动。。

另外,还有快速启动栏的快捷方式被修改了。。

如果还未修复过来的话,可以用一下这个工具http://dl.360safe.com/360compkill.zip

或是自己手工用冰刃清除。。
2009-1-8 13:15
0
雪    币: 388
活跃值: (25)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
12
CCDebuger分析的透彻 学习~
2009-1-8 19:44
0
雪    币: 120
活跃值: (160)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
改主页。。。。

HO 难道浏览器遭劫,冰忍可以看下BHO。
2009-1-9 10:19
0
雪    币: 232
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
学习了,思路不错啊
2009-8-28 11:49
0
雪    币: 433
活跃值: (1870)
能力值: ( LV17,RANK:1820 )
在线值:
发帖
回帖
粉丝
15
路过留名               ……
2009-8-28 17:48
0
游客
登录 | 注册 方可回帖
返回
//