-
-
[旧帖] [原创]奇怪的病毒 0.00雪花
-
发表于: 2009-3-17 16:10
-
今天在我们单位的微机上发现了一个奇怪的病毒,用软件查看pe头显示错误,
od 载入提示错误,但是它却可以正常运行,百思不得其解
请高手给看看是怎么回事?
补充:
又下了一番功夫,以下是我用od跟踪的注释,未跟踪完成,下班了,今天先到这里:)
7C92120F C3 retn
c38bffccc3
//初始ep
7C941118 8B85 64FFFFFF mov eax, dword ptr [ebp-9C] ; lmvixxh.0040000C
// 开始解密原文件?
00410D54 6A 01 push 1
//在此处下内存写断点,可以发现virus正在向此处写入解密后的程序。
//此处后来被作为代码运行
//此句没有被写上代码之前,在此下断点无效(失控)
似乎从()处开始写解密程序?
00AB2554 F3:A5 rep movs dword ptr es:[edi], dword ptr [esi]
是由此句完成写00410D54内存的任务
00AB2556 8BC8 mov ecx, eax
//这是move的下一句
//此句被多次执行,如果仅在此处下断点,执行几次后就失控了.
//原来40ff0以下为0000000,执行完00ab2554的语句后,直到00411590全为数据,
00AC2586 039401 98000000 add edx, dword ptr [ecx+eax+98]
//此句似乎是解密程序
00952563 01EB add ebx, ebp
//此处为解密完成?
//7cxxxxxx为主循环
//00Axxxxx为解密者
//00AB2556为解密后的程序
//用od载入,连续按45次ctrl-f9 ,堆栈就出现0041f000字样,49次结束
//此病毒不能穿冰,主要通过u盘传播。
od 载入提示错误,但是它却可以正常运行,百思不得其解
请高手给看看是怎么回事?
补充:
又下了一番功夫,以下是我用od跟踪的注释,未跟踪完成,下班了,今天先到这里:)
7C92120F C3 retn
c38bffccc3
//初始ep
7C941118 8B85 64FFFFFF mov eax, dword ptr [ebp-9C] ; lmvixxh.0040000C
// 开始解密原文件?
00410D54 6A 01 push 1
//在此处下内存写断点,可以发现virus正在向此处写入解密后的程序。
//此处后来被作为代码运行
//此句没有被写上代码之前,在此下断点无效(失控)
似乎从()处开始写解密程序?
00AB2554 F3:A5 rep movs dword ptr es:[edi], dword ptr [esi]
是由此句完成写00410D54内存的任务
00AB2556 8BC8 mov ecx, eax
//这是move的下一句
//此句被多次执行,如果仅在此处下断点,执行几次后就失控了.
//原来40ff0以下为0000000,执行完00ab2554的语句后,直到00411590全为数据,
00AC2586 039401 98000000 add edx, dword ptr [ecx+eax+98]
//此句似乎是解密程序
00952563 01EB add ebx, ebp
//此处为解密完成?
//7cxxxxxx为主循环
//00Axxxxx为解密者
//00AB2556为解密后的程序
//用od载入,连续按45次ctrl-f9 ,堆栈就出现0041f000字样,49次结束
//此病毒不能穿冰,主要通过u盘传播。
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
|
|
|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
终于把病毒杀了
。。。。。。。 
|
|
|
|
|
|
|
|
|
|
