首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[求助]10来K的一个病毒,大家有没人分析
发表于: 2009-6-10 17:18 6797

[求助]10来K的一个病毒,大家有没人分析

evilcode 活跃值
2009-6-10 17:18
6797
我宿舍的一个家伙上H站,提示要下载这个东西才能看,谁知道就中招了。

我下载看了下,NOD32也没报毒。

我并不是什么目的要干啥,只是感觉有点意思,大家如果有空的话看下。我发这个帖子的时候他还在重装,嘿嘿

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 0
支持
分享
最新回复 (14)
evilcode
雪    币: 254
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
2
啥结果??????//
2009-6-10 23:32
0
OildFish
雪    币: 48
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
3
http://camas.comodo.com/cgi-bin/submit?file=f35bb3deaacfdcde49c6b3ee853907aec3c17bc484e7cb8aa879a7156ce06bcb
2009-6-11 00:00
0
jasonzhou
雪    币: 213
活跃值: (147)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
4
一个普通的病毒
不知道10来K是意思
2009-6-11 09:58
0
lrcsoft
雪    币: 13
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
5
用剑盟的病毒分析工具
2009-6-11 10:22
0
jmpjerryy
雪    币: 339
活跃值: (29)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
6
大概看了下。
1 首先根据version 会把资源节里面的代码直接覆盖写到%system%目录下面的dll里面。在我这里这是appmgmts.dll. 为了防止av启发资源节里面并没有出去"MZ"之类的字段。也就是说是不是从文件的开头覆盖的。
2 appmgmts.dll做的一些破坏工作,包括antiav,比如360safe avp等等
还到tt.ee88567.cn上去下载一个叫ggb.txt
里面的内容是类似(为了安全,我用--代替了部分的字节)
0:hxxp://tj.114anhui.com/----/qqmo.exe|C:\uninstc.exe!
1:hxxp://tj.114anhui.com/--/exe/1.exe|C:\uninst1.exe!
1:hxxp://tj.114anhui.com/--/exe1/1.exe|C:\uninst2.exe!
2:hxxp://tj.114anhui.com/--/exe/2.exe|C:\uninst1.exe!
2009-6-11 11:17
0
hmilywen
雪    币: 1482
活跃值: (879)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
7
看楼上的描述那应该就是NSDownLoader~
2009-6-11 11:33
0
houang
雪    币: 432
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
8
这么小啊  我研究研究
2009-6-11 11:33
0
异域幽灵
雪    币: 200
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
9
ESET NOD32 病毒库更新到4146可查杀=,=
2009-6-11 12:50
0
jmpjerryy
雪    币: 339
活跃值: (29)
能力值: ( LV6,RANK:90 )
在线值:
发帖
回帖
粉丝
私信
10
3.dll还放出个3k的驱动。在SSDT上面做了些文章
2009-6-11 12:50
0
徐大力
雪    币: 179
活跃值: (15)
能力值: ( LV12,RANK:330 )
在线值:
发帖
回帖
粉丝
私信
11
不止的   杀AV 也是靠驱动的
还有  去除系统文件保护  是靠调用SFC的 5号函数
DLL 创建3个线程  第1个杀AV  第2个 download
第3个映像劫持
驱动没仔细分析
2009-6-11 19:07
0
fygcaw
雪    币: 252
活跃值: (11)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
私信
12
0040128E  |.  68 E8204000   push    004020E8                               ; /FileName = "ntdll.dll"
00401293  |.  FF15 40204000 call    dword ptr [<&KERNEL32.LoadLibraryA>]   ; \LoadLibraryA
00401299  |.  68 F4204000   push    004020F4                               ; /ProcNameOrOrdinal = "ZwWriteFile"
0040129E  |.  50            push    eax                                    ; |hModule
0040129F  |.  FF15 3C204000 call    dword ptr [<&KERNEL32.GetProcAddress>] ; \GetProcAddress
004012A5  |.  8B4D 08       mov     ecx, dword ptr [ebp+8]
004012A8  |.  56            push    esi
004012A9  |.  56            push    esi
004012AA  |.  83C1 C4       add     ecx, -3C
004012AD  |.  51            push    ecx
004012AE  |.  8B4D FC       mov     ecx, dword ptr [ebp-4]
004012B1  |.  83C1 3C       add     ecx, 3C
004012B4  |.  51            push    ecx
004012B5  |.  8D4D F0       lea     ecx, dword ptr [ebp-10]
004012B8  |.  51            push    ecx
004012B9  |.  56            push    esi
004012BA  |.  56            push    esi
004012BB  |.  56            push    esi
004012BC  |.  53            push    ebx
004012BD  |.  FFD0          call    eax

这时eax 为0,对应系统DLL的0x3C后没有被重写,是不是SFC的 5号函数没起作用?请大侠赐教!
2009-6-15 15:53
0
marshalx
雪    币: 340
活跃值: (11)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
13
ns驱动弄那么多不知道作者怎么想的......
2009-6-15 18:52
0
rsa
雪    币: 215
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
rsa
14
关注。过后看
2009-6-16 09:17
0
aeddy
雪    币: 201
活跃值: (15)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
私信
15
我还没来得及看,就被杀掉了。汗一个…………
2009-6-16 09:18
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//