能力值:
( LV4,RANK:50 )
|
-
-
51 楼
修改时间后,重启计算机。杀毒。
改回。。。
可以避免清毒过程中病毒主程序的不停调用。
主程序流程如下:
1\ 大量花指令
2\ 动态加载dll,获取要调用函数的入口[列表如下:]
"FindResourceA"\"LoadResource"\"LockResource"\"CreateFileA"\
"WriteFile"\"SizeofResource"\"FreeResource"\"WinExec"\
"GetSystemDirectoryA"\"GetWindowsDirectoryA"
3\ 查看字符串"ttt555"的全局原子数量,如果已经存在,程序退出。
4\ 尝试打开名为"ttt555"的互斥体,如果打开成功,退出程序。
5\ 将字符串"ttt555"的全局原子数量加一,创建名为"ttt555"的互斥体。
6\ 获取系统时间,取当前时间的年份。
7\ 大量花指令代码。
8\ 判断获取的系统时间的年份是否大于2007,否则跳到step_12
9\ 调用cmd命令修改%System32%、%Tmp%目录的权限为所有用户完全控制。
10\通过命令行关闭nod(32ESET Smart Security)名为"ekrn"的服务,
并关闭ekrn.exe(nod32)\egui.exe(nod32)\ScanFrm.exe(瑞星)进程。
11\休眠5秒
12\判断获取的系统时间的年份是否大于2007,否则跳到step_14
13\衍生文件func.dll到%System32%目录下,调用命令行命令"rundll32.exe func.dll, droqp"启动dll。
14\休眠20秒。
15\在%Windir%目录衍生病毒文件phpi.dll,若系统时间的年份是否大于2007,文件写数据操作失败。
16\花指令。
17\判断当前系统年份是否大于2008退出程序
18\加载phpi.dll,如加载成功且系统年份大于2007,向下执行,否则退出程序。
19\花指令。
20\获取phpi.dll中函数"Scan"函数的入口并执行。
21\判断当前系统年份是否大于2008退出程序
22\花指令
23\休眠24小时。
24\退出程序。
样本和你的样本基本相同, 样本来自绅博。附件如下:
|
能力值:
( LV2,RANK:10 )
|
-
-
52 楼
下载下看看 
|
能力值:
( LV2,RANK:10 )
|
-
-
53 楼
不是很能明白你们在说什么
还是学习了
气氛很好
|
能力值:
( LV3,RANK:30 )
|
-
-
54 楼
ZwOpenProcess->ZwCreateJobObject->ZwAssignProcessToJobObject->ZwTerminateJobObject
作业对象的方式,现在杀不了360了,这个都被inline hook
|
能力值:
( LV3,RANK:20 )
|
-
-
55 楼
读取函数头修复执行。继续杀之。
|
能力值:
( LV4,RANK:50 )
|
-
-
56 楼
现在人喜欢加实时检测 发现不对 马上又会写回去 每次用都得还原麻烦 容易导致系统不稳定
其实没必要修复 自己做个通用的绕函数头INLINE HOOK模块就可以了
用敏感函数时 自己从内核文件读取相应原始代码(一般不需要重定位 依情况而定) 直接绕过函数头10几字节就好了
基本上是通行无阻 屡试不爽 
|
能力值:
( LV2,RANK:10 )
|
-
-
57 楼
病毒分析。。。很想学习,无人指点。。。。
|
能力值:
( LV2,RANK:10 )
|
-
-
58 楼
好厉害的毒,我也遭过
|
能力值:
( LV2,RANK:10 )
|
-
-
59 楼
这病毒够强的,连还原都穿透了!
|
能力值:
( LV2,RANK:10 )
|
-
-
60 楼
[QUOTE=hacker一疒亻;633739]你是说最后一句的strcat用法错了?
看得出SysDir他的本意是一个数据名,但是aboy.dll 这个引用出了问题
我是用C的 不知道别的语言里是不是可以这样!
如果这样写就没有错了
char *A="aboy.dll"
chra SysDir[30]
strc...[/QUOTE]
内牛满面啊....
|
能力值:
( LV2,RANK:10 )
|
-
-
61 楼
膜拜,学习.顶上去................
|
|
|
|
