首页
社区
课程
招聘
问答 CTF 排行榜 知识库 工具下载 峰会 看雪商城 证书查询
  1. 社区
  2. 软件逆向
    3. 发新帖
[原创]新版机器狗代码逆向
发表于: 2009-8-5 22:17 5094

[原创]新版机器狗代码逆向

zhzhtst 活跃值
11
2009-8-5 22:17
5094

http://bbs.pediy.com/showthread.php?t=94609
这个帖子中提到的是一个Agent类型的木马,它运行时会释放两个驱动程序,一个新版的机器狗代码,一个是利用PspTerminateProcess来结束进程的驱动,然后到http://0519qq.cn/ceshi/qq.txt下载这个木马列表

http://0519qq.cn/zzx/qq1.exe
http://0519qq.cn/zzx/qq2.exe
http://0519qq.cn/zzx/qq4.exe
http://0519qq.cn/zzx/qq5.exe
http://0519qq.cn/zzx/qq6.exe
http://0519qq.cn/zzx/qq7.exe
http://0519qq.cn/zzx/qq8.exe
http://0519qq.cn/zzx/qq9.exe
http://0519qq.cn/zzx/qq10.exe
http://0519qq.cn/zzx/qq11.exe
http://0519qq.cn/zzx/qq12.exe
http://0519qq.cn/zzx/qq13.exe
http://0519qq.cn/zzx/qq14.exe
http://0519qq.cn/zzx/qq16.exe
http://0519qq.cn/zzx/qq15.exe
http://0519qq.cn/zzx/qq17.exe
http://0519qq.cn/zzx/qq18.exe
http://0519qq.cn/zzx/qq19.exe
http://0519qq.cn/zzx/qq20.exe
http://0519qq.cn/zzx/qq21.exe
http://0519qq.cn/zzx/qq22.exe
(链接现在依然有效)

我将机器狗的代码逆向了一下,附件中是逆向得到的代码。ANTI代码被注释掉了,搜索ANTI即可
它只覆盖C:\WINDOWS\explorer.exe。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
收藏
免费 7
支持
分享
最新回复 (5)
kanxue
雪    币: 47147
活跃值: (20410)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
2
zhzhtst的逆向功能好强
2009-8-6 10:00
0
nbw
雪    币: 339
活跃值: (1510)
能力值: ( LV13,RANK:970 )
在线值:
发帖
回帖
粉丝
私信
3
膜顶一下   ~
2009-8-6 12:27
0
stalker
雪    币: 399
活跃值: (38)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
私信
4
这样的病毒,根据链接,作者岂不是很容易被顺藤摸瓜找到?
2009-8-6 17:50
0
zhzhtst
雪    币: 462
活跃值: (53)
能力值: ( LV9,RANK:460 )
在线值:
发帖
回帖
粉丝
私信
5
他们并不是走正常手续来申请域名的,通过某些手段大批量申请。
2009-8-6 18:40
0
popeylj
雪    币: 360
活跃值: (77)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
私信
6
编译通过~~~~
2009-8-6 23:17
0
游客
登录 | 注册 方可回帖
回帖 表情 雪币赚取及消费
高级回复
返回
//