[讨论]悬赏25万，Conficker病毒作者追踪~~~~-软件逆向-看雪-安全社区|安全招聘|kanxue.com

[讨论]悬赏25万，Conficker病毒作者追踪~~~~

发表于: 2009-3-16 18:16 69923

[讨论]悬赏25万，Conficker病毒作者追踪~~~~

nkspark

2009-3-16 18:16

69923

查看主题内容

收藏・11

免费・0

支持

最新回复 (121) ◀ 1 2 3 4 5
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 101 楼 http://www.confickerworkinggroup.org/infection_test/cfeyechart.html 上面有解释，如果所有的图片都正常显示，说明你的电脑正常，如果部分图片不能正常显示，你的电脑可能感染了对应的Conficker变种。太有才了~~~ 2009-4-3 10:25 0
hmilywen 雪币： 1432 活跃值： (823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 5 关注私信	hmilywen 102 楼我没有能正常显示的.... 2009-4-5 06:31 0
angelbd 雪币： 441 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 27 粉丝 0 关注私信	angelbd 103 楼真有这么好的事？！看来自己在这方面实在有点孤陋寡闻了，让人心动啊，当然可能根本就没咱的事。呵呵 2009-4-5 09:13 0
我华英雄雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	我华英雄 104 楼我就是会俄文的中国人，但我不用俄文键盘 2009-4-9 07:25 0
lclee 雪币： 240 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 27 粉丝 0 关注私信	lclee 105 楼 Hi, all, i downloaded the sample conficker 'atsjshck.rar' [http://www.woodmann.com/forum/showthread.php?t=12297]. and follow step by step with this posting [http://earlmarcus.blogspot.com/2009/01/unpacking-confickerdownadup.html]. Unfortunately i cannot reach landed until 0x10002EB0. starting from this address, malware will unpack itself in memory. I tried to set the breakpoint at VirtualAlloc and VirtualProtect, still cannot trace until the offset of these functions. Please share with me if you can do it or something iam wrong. thanks 2009-4-12 16:49 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 106 楼 [QUOTE=lclee;605708]Hi, all, i downloaded the sample conficker 'atsjshck.rar' [http://www.woodmann.com/forum/showthread.php?t=12297]. and follow step by step with this...[/QUOTE] 你把你的这个传上来让大家看一下，还有你得脱壳过程~~~~ 2009-4-12 18:44 0
lclee 雪币： 240 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 27 粉丝 0 关注私信	lclee 107 楼 The question is: a. How do i set the breakpoint at VirtualProtectEx and dump the segment of this malware? I understand chinese font. Thanks for help. :) 上传的附件： atsjshck.rar （152.62kb，65次下载） 2009-4-12 21:51 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 108 楼没这么设过断点，我的方法是用OllyDbg载入后，直接F4执行到0x1001A00D，然后F7就到入口点了。 2009-4-12 23:21 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 109 楼原来是啥内容？ 2009-4-12 23:54 0
kingcom 雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 107 粉丝 0 关注私信	kingcom 110 楼楼上很有耐心啊，分析了这么多东西出来，pfpf 2009-4-13 00:29 0
lclee 雪币： 240 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 27 粉丝 0 关注私信	lclee 111 楼 Problems solve. Procedure unpack: 1. load dll file using ollydbg 2. Press F2 set breakpoint at 1001A00D 3. Press F9 + Press F7 4. Press F2 set breakpoint at 10002EB0 5. Press F9+Press F7 6. Press F2 set breakpoint at 003CF8AD 7. Press F9+Press F7 8. now u can right click and save the content of conficker worm from memory test it using vmware to avoid your system infected. 2009-4-14 17:58 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 112 楼楼上到底是哪国人啊？ 2009-4-15 11:08 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 113 楼恭喜，你这个样本是Conficker.B。现在有四个变种了，A,B,D类似，利用MS08-067传。C复杂一点，不传。 D设定2009年5月3日自动终结，不知道作者又开始玩什么花样了。 2009-4-15 12:01 0
lclee 雪币： 240 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 27 粉丝 0 关注私信	lclee 114 楼我来自马来西亚。因为在我的计算机英语只是支持英文版本。 2009-4-15 12:15 0
lclee 雪币： 240 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 27 粉丝 0 关注私信	lclee 115 楼谁有变种A,D样本? 2009-4-15 12:18 0
hmilywen 雪币： 1432 活跃值： (823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 5 关注私信	hmilywen 116 楼好久没关注Conficker啦,最近新变种咋样了?nkspark大哥哥咋联系你啊,我想去膜拜你下~ 2009-4-16 14:13 0
zzzzzz 雪币： 21 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 17 粉丝 0 关注私信	zzzzzz 117 楼真给么25万美元么？ 2009-5-3 19:15 0
小吳雪币： 482 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	小吳 118 楼指向谁？？？ 2009-5-4 12:30 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 119 楼这里有个关于Sasser比较详细的例子： http://www.microsoft.com/presspass/press/2005/jul05/07-08SasserRewardPR.mspx Sasser国内好像叫震荡波，2004年5月1日前夕爆发。微软悬赏250000美元，不到一个月，病毒编写者就被抓到了。2005年7月8日，两名举报者分享了这25万美元奖金。这两个举报者好像是病毒编写者的高中同学。病毒编写者是德国的高中生，被判1年零9个月，缓期执行。30小时社区劳动。 2009-5-7 13:13 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 120 楼好厉害的 Conficker , 注定作者只能默默无闻 2011-8-31 20:07 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 121 楼 Conficker.C已利用P2P技术迅速在全球范围内升级到了Conficker.E。“Conficker通过加密P2P技术在肉鸡电脑上进行更新，Conficker.C甚至无需获取更新指令就可以部署升级，相当于预先设置了BT下载的种子，这也是Conficker作者早早埋下的伏笔哇!居然用 P2P 技术,太强大了, 可能作者认为闹得太大了,让MS全发球通缉令了,所以在 5.3罢手了 2011-8-31 20:11 0
snowingday 雪币： 243 活跃值： (27) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 57 粉丝 0 关注私信	snowingday 122 楼 2011-11-10 15:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

nkspark

发帖

610

回帖

140

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (121) ◀ 1 2 3 4 5
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 101 楼 http://www.confickerworkinggroup.org/infection_test/cfeyechart.html 上面有解释，如果所有的图片都正常显示，说明你的电脑正常，如果部分图片不能正常显示，你的电脑可能感染了对应的Conficker变种。太有才了~~~ 2009-4-3 10:25 0
hmilywen 雪币： 1432 活跃值： (823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 5 关注私信	hmilywen 102 楼我没有能正常显示的.... 2009-4-5 06:31 0
angelbd 雪币： 441 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 27 粉丝 0 关注私信	angelbd 103 楼真有这么好的事？！看来自己在这方面实在有点孤陋寡闻了，让人心动啊，当然可能根本就没咱的事。呵呵 2009-4-5 09:13 0
我华英雄雪币： 201 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 4 粉丝 0 关注私信	我华英雄 104 楼我就是会俄文的中国人，但我不用俄文键盘 2009-4-9 07:25 0
lclee 雪币： 240 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 27 粉丝 0 关注私信	lclee 105 楼 Hi, all, i downloaded the sample conficker 'atsjshck.rar' [http://www.woodmann.com/forum/showthread.php?t=12297]. and follow step by step with this posting [http://earlmarcus.blogspot.com/2009/01/unpacking-confickerdownadup.html]. Unfortunately i cannot reach landed until 0x10002EB0. starting from this address, malware will unpack itself in memory. I tried to set the breakpoint at VirtualAlloc and VirtualProtect, still cannot trace until the offset of these functions. Please share with me if you can do it or something iam wrong. thanks 2009-4-12 16:49 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 106 楼 [QUOTE=lclee;605708]Hi, all, i downloaded the sample conficker 'atsjshck.rar' [http://www.woodmann.com/forum/showthread.php?t=12297]. and follow step by step with this...[/QUOTE] 你把你的这个传上来让大家看一下，还有你得脱壳过程~~~~ 2009-4-12 18:44 0
lclee 雪币： 240 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 27 粉丝 0 关注私信	lclee 107 楼 The question is: a. How do i set the breakpoint at VirtualProtectEx and dump the segment of this malware? I understand chinese font. Thanks for help. :) 上传的附件： atsjshck.rar （152.62kb，65次下载） 2009-4-12 21:51 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 108 楼没这么设过断点，我的方法是用OllyDbg载入后，直接F4执行到0x1001A00D，然后F7就到入口点了。 2009-4-12 23:21 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 109 楼原来是啥内容？ 2009-4-12 23:54 0
kingcom 雪币： 193 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 107 粉丝 0 关注私信	kingcom 110 楼楼上很有耐心啊，分析了这么多东西出来，pfpf 2009-4-13 00:29 0
lclee 雪币： 240 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 27 粉丝 0 关注私信	lclee 111 楼 Problems solve. Procedure unpack: 1. load dll file using ollydbg 2. Press F2 set breakpoint at 1001A00D 3. Press F9 + Press F7 4. Press F2 set breakpoint at 10002EB0 5. Press F9+Press F7 6. Press F2 set breakpoint at 003CF8AD 7. Press F9+Press F7 8. now u can right click and save the content of conficker worm from memory test it using vmware to avoid your system infected. 2009-4-14 17:58 0
achillis 雪币： 7651 活跃值： (523) 能力值： ( LV9，RANK：610 ) 在线值：发帖 32 回帖 2032 粉丝 47 关注私信	achillis 15 112 楼楼上到底是哪国人啊？ 2009-4-15 11:08 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 113 楼恭喜，你这个样本是Conficker.B。现在有四个变种了，A,B,D类似，利用MS08-067传。C复杂一点，不传。 D设定2009年5月3日自动终结，不知道作者又开始玩什么花样了。 2009-4-15 12:01 0
lclee 雪币： 240 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 27 粉丝 0 关注私信	lclee 114 楼我来自马来西亚。因为在我的计算机英语只是支持英文版本。 2009-4-15 12:15 0
lclee 雪币： 240 活跃值： (29) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 27 粉丝 0 关注私信	lclee 115 楼谁有变种A,D样本? 2009-4-15 12:18 0
hmilywen 雪币： 1432 活跃值： (823) 能力值： ( LV2，RANK：10 ) 在线值：发帖 24 回帖 530 粉丝 5 关注私信	hmilywen 116 楼好久没关注Conficker啦,最近新变种咋样了?nkspark大哥哥咋联系你啊,我想去膜拜你下~ 2009-4-16 14:13 0
zzzzzz 雪币： 21 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 6 回帖 17 粉丝 0 关注私信	zzzzzz 117 楼真给么25万美元么？ 2009-5-3 19:15 0
小吳雪币： 482 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 22 粉丝 0 关注私信	小吳 118 楼指向谁？？？ 2009-5-4 12:30 0
nkspark 雪币： 101 活跃值： (88) 能力值： ( LV2，RANK：140 ) 在线值：发帖 46 回帖 610 粉丝 0 关注私信	nkspark 3 119 楼这里有个关于Sasser比较详细的例子： http://www.microsoft.com/presspass/press/2005/jul05/07-08SasserRewardPR.mspx Sasser国内好像叫震荡波，2004年5月1日前夕爆发。微软悬赏250000美元，不到一个月，病毒编写者就被抓到了。2005年7月8日，两名举报者分享了这25万美元奖金。这两个举报者好像是病毒编写者的高中同学。病毒编写者是德国的高中生，被判1年零9个月，缓期执行。30小时社区劳动。 2009-5-7 13:13 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 120 楼好厉害的 Conficker , 注定作者只能默默无闻 2011-8-31 20:07 0
PEBOSS 雪币： 33 活跃值： (11) 能力值： ( LV2，RANK：10 ) 在线值：发帖 144 回帖 856 粉丝 0 关注私信	PEBOSS 121 楼 Conficker.C已利用P2P技术迅速在全球范围内升级到了Conficker.E。“Conficker通过加密P2P技术在肉鸡电脑上进行更新，Conficker.C甚至无需获取更新指令就可以部署升级，相当于预先设置了BT下载的种子，这也是Conficker作者早早埋下的伏笔哇!居然用 P2P 技术,太强大了, 可能作者认为闹得太大了,让MS全发球通缉令了,所以在 5.3罢手了 2011-8-31 20:11 0
snowingday 雪币： 243 活跃值： (27) 能力值： ( LV3，RANK：20 ) 在线值：发帖 6 回帖 57 粉丝 0 关注私信	snowingday 122 楼 2011-11-10 15:30 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复