[讨论]悬赏25万，Conficker病毒作者追踪~~~~-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]悬赏25万，Conficker病毒作者追踪~~~~

发表于: 2009-3-16 18:16 69923

[讨论]悬赏25万，Conficker病毒作者追踪~~~~

nkspark

2009-3-16 18:16

69923

查看主题内容

收藏・11

免费・0

支持

最新回复 (121) ◀ 1 2 3 4 5 ▶
fzysoft 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 78 粉丝 1 关注私信	fzysoft 51 楼不提也罢，这病毒害得我不敢用NOD32 2009-3-18 21:44 0
phikaa 雪币： 201 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 0 关注私信	phikaa 52 楼还好它不感染PE文件。不然就更麻烦了。磁碟机当年就很擅长感染PE的。。。呵呵，写磁碟机的人是不是加壳软件写多了？ 2009-3-18 22:37 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 53 楼跟Conficker比，猫癣奔牛之类的只能算不入流～～～ 2009-3-18 23:50 0
feierin 雪币： 474 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 314 粉丝 0 关注私信	feierin 54 楼我不会俄文，肯定不是我。如果自首可以得奖金，愿意去学习俄文，然后研究病毒。。。。。。 2009-3-19 09:57 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 55 楼原来是啥内容？ 2009-3-19 16:14 0
zenix 雪币： 2393 活跃值： (1387) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 838 粉丝 13 关注私信	zenix 1 56 楼一个线索：Conficker中发现大量看雪代码片断，例如 http://bbs.pediy.com/showthread.php?t=11851 还有这个神奇数字：EDB88320，看雪遍地都是~~~ 上传一个病毒样本外带部分IDA文件，大家看看有没有啥线索~~~ 看來你真的想把人抓出來? 慘了~~ 等著看新聞. 2009-3-19 17:28 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 57 楼 ding~~~ 晕了，帖子被移来移去，我都找不到了～～～ 2009-3-19 22:33 0
float冰雪币： 194 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 73 粉丝 0 关注私信	float冰 58 楼切，如果是看雪的，我们会把他交出去吗？钱算什么？ 2009-3-19 23:04 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 59 楼原来是啥内容？ 2009-3-20 09:34 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 60 楼原来是啥内容？ 2009-3-20 16:47 0
烁皓雪币： 270 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 155 粉丝 0 关注私信	烁皓 61 楼给个密码噻。 2009-3-20 17:41 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 62 楼原来是啥内容？ 2009-3-23 14:23 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 63 楼发信箱了~~~~ 2009-3-23 14:42 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 64 楼最外层：假的UPX壳；第二层：VC；释放出一个临时文件；第三层：被RUNDLL32加载的临时文件伪装IAT，自己构造IAT在内存中释放一DLL；第四层：DLL是VC写的，执行部分病毒功能；内嵌Delphi；第五层：Delphi代码部分被变形引擎处理过；IAT中80多个函数全部重新构造；第五层里起了5个线程，都是干啥的呢？ 2009-3-23 18:22 0
lingaonbvm 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	lingaonbvm 65 楼 conficker的感染程度有这么高吗?严重怀疑ms在炒作 2009-3-23 22:42 0
小叶不烦雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	小叶不烦 66 楼难度应该蛮大的. 2009-3-23 22:48 0
小叶不烦雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	小叶不烦 67 楼 conficker 都干了什么了??? 2009-3-23 22:49 0
lingyao 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 36 粉丝 0 关注私信	lingyao 68 楼哥哥啊，MS的悬赏你也听啊，说不定那是人家在故意想挖这个人的法子啊，这么好的人才都要让MS挖走，多可惜啊，如果MS是真的想抓这人的话，那可是大大的堆黑客们对抗MS的打击啊，你这是在增大MS的实力啊。助纣为虐啊！ 2009-3-24 01:08 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 69 楼主要都是老外在炒。看了一些资料，老外说，一共感染了上千万台，其中30％多在中国。估算一下中国也就感染500～600万台的样子，小意思了～～～～ 2009-3-24 01:10 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 70 楼似乎国外反病毒公司有个惯例，不招写过病毒的人。微软应该不是准备挖人吧？看看来看雪招反病毒人才的公司开出的价码，4k～5k啊，干一辈子也拿不到25万美元啊～～～～微软拔根毛都比这些公司腿粗～～～～～～ 2009-3-24 01:15 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 71 楼初步推断至少3个人写这个病毒： 1个用Delphi写，还加了变形，这个肯定是个大牛X，国内估计没有这样的高手； 1个用VC写，中规中矩，没准是国内的人干的； 1个把这两部分揉到一起，做了一些伪装，当然也有点儿弄巧成拙的意思，没准是国内的人干的 2009-3-24 01:21 0
WarmIce 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	WarmIce 72 楼我还以为是人民币呢原来是美元啧啧中…… 呵呵 2009-3-24 09:04 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 73 楼 Conficker居然使用了6种检测VM的方法~~~~ 一个线索：其中的3种来自看雪 :) 2009-3-24 15:06 0
hmilywen 雪币： 1432 活跃值： (823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 5 关注私信	hmilywen 74 楼 DLL内搜索CALL EAX下好断,它会带你去新的领域~ 2009-3-24 15:21 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 75 楼咋个新法? 能否详细说说? 我这里看到的都是空值，dump早了。 2009-3-24 16:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

nkspark

发帖

610

回帖

140

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (121) ◀ 1 2 3 4 5 ▶
fzysoft 雪币： 207 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 78 粉丝 1 关注私信	fzysoft 51 楼不提也罢，这病毒害得我不敢用NOD32 2009-3-18 21:44 0
phikaa 雪币： 201 活跃值： (31) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 139 粉丝 0 关注私信	phikaa 52 楼还好它不感染PE文件。不然就更麻烦了。磁碟机当年就很擅长感染PE的。。。呵呵，写磁碟机的人是不是加壳软件写多了？ 2009-3-18 22:37 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 53 楼跟Conficker比，猫癣奔牛之类的只能算不入流～～～ 2009-3-18 23:50 0
feierin 雪币： 474 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 3 回帖 314 粉丝 0 关注私信	feierin 54 楼我不会俄文，肯定不是我。如果自首可以得奖金，愿意去学习俄文，然后研究病毒。。。。。。 2009-3-19 09:57 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 55 楼原来是啥内容？ 2009-3-19 16:14 0
zenix 雪币： 2393 活跃值： (1387) 能力值： ( LV4，RANK：50 ) 在线值：发帖 9 回帖 838 粉丝 13 关注私信	zenix 1 56 楼一个线索：Conficker中发现大量看雪代码片断，例如 http://bbs.pediy.com/showthread.php?t=11851 还有这个神奇数字：EDB88320，看雪遍地都是~~~ 上传一个病毒样本外带部分IDA文件，大家看看有没有啥线索~~~ 看來你真的想把人抓出來? 慘了~~ 等著看新聞. 2009-3-19 17:28 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 57 楼 ding~~~ 晕了，帖子被移来移去，我都找不到了～～～ 2009-3-19 22:33 0
float冰雪币： 194 活跃值： (10) 能力值： ( LV3，RANK：20 ) 在线值：发帖 2 回帖 73 粉丝 0 关注私信	float冰 58 楼切，如果是看雪的，我们会把他交出去吗？钱算什么？ 2009-3-19 23:04 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 59 楼原来是啥内容？ 2009-3-20 09:34 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 60 楼原来是啥内容？ 2009-3-20 16:47 0
烁皓雪币： 270 活跃值： (25) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 155 粉丝 0 关注私信	烁皓 61 楼给个密码噻。 2009-3-20 17:41 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 62 楼原来是啥内容？ 2009-3-23 14:23 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 63 楼发信箱了~~~~ 2009-3-23 14:42 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 64 楼最外层：假的UPX壳；第二层：VC；释放出一个临时文件；第三层：被RUNDLL32加载的临时文件伪装IAT，自己构造IAT在内存中释放一DLL；第四层：DLL是VC写的，执行部分病毒功能；内嵌Delphi；第五层：Delphi代码部分被变形引擎处理过；IAT中80多个函数全部重新构造；第五层里起了5个线程，都是干啥的呢？ 2009-3-23 18:22 0
lingaonbvm 雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 14 粉丝 0 关注私信	lingaonbvm 65 楼 conficker的感染程度有这么高吗?严重怀疑ms在炒作 2009-3-23 22:42 0
小叶不烦雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	小叶不烦 66 楼难度应该蛮大的. 2009-3-23 22:48 0
小叶不烦雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 10 粉丝 0 关注私信	小叶不烦 67 楼 conficker 都干了什么了??? 2009-3-23 22:49 0
lingyao 雪币： 206 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 36 粉丝 0 关注私信	lingyao 68 楼哥哥啊，MS的悬赏你也听啊，说不定那是人家在故意想挖这个人的法子啊，这么好的人才都要让MS挖走，多可惜啊，如果MS是真的想抓这人的话，那可是大大的堆黑客们对抗MS的打击啊，你这是在增大MS的实力啊。助纣为虐啊！ 2009-3-24 01:08 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 69 楼主要都是老外在炒。看了一些资料，老外说，一共感染了上千万台，其中30％多在中国。估算一下中国也就感染500～600万台的样子，小意思了～～～～ 2009-3-24 01:10 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 70 楼似乎国外反病毒公司有个惯例，不招写过病毒的人。微软应该不是准备挖人吧？看看来看雪招反病毒人才的公司开出的价码，4k～5k啊，干一辈子也拿不到25万美元啊～～～～微软拔根毛都比这些公司腿粗～～～～～～ 2009-3-24 01:15 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 71 楼初步推断至少3个人写这个病毒： 1个用Delphi写，还加了变形，这个肯定是个大牛X，国内估计没有这样的高手； 1个用VC写，中规中矩，没准是国内的人干的； 1个把这两部分揉到一起，做了一些伪装，当然也有点儿弄巧成拙的意思，没准是国内的人干的 2009-3-24 01:21 0
WarmIce 雪币： 200 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 12 粉丝 0 关注私信	WarmIce 72 楼我还以为是人民币呢原来是美元啧啧中…… 呵呵 2009-3-24 09:04 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 73 楼 Conficker居然使用了6种检测VM的方法~~~~ 一个线索：其中的3种来自看雪 :) 2009-3-24 15:06 0
hmilywen 雪币： 1432 活跃值： (823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 5 关注私信	hmilywen 74 楼 DLL内搜索CALL EAX下好断,它会带你去新的领域~ 2009-3-24 15:21 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 75 楼咋个新法? 能否详细说说? 我这里看到的都是空值，dump早了。 2009-3-24 16:27 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复