首页
社区
课程
招聘
[旧帖] [原创]病毒分析报告 0.00雪花
发表于: 2009-10-24 16:34 2708

[旧帖] [原创]病毒分析报告 0.00雪花

2009-10-24 16:34
2708

学习病毒分析,目前自己只达到了这个水平,不知道能不能拿个邀请码..这个病毒的样本,加了注释的IDB文件,释放的DLL,我打了一个包放了出来..释放的DLL不知道怎么回事,哪位大神可以给指点一下.
一、病毒标签:
病毒名称:  
病毒类型:  木马
文件MD5: 5CA7344508EC2EEF0A84E35150AC6FD25FC02C1C
文件长度:  脱壳前276,480字节,脱壳后376,832字节
受影响系统:Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
开发工具:未知
加壳类型: 未知
二、病毒描述:
   修改注册表,自启动,注入explorer.exe执行远程代码。
三、行为分析:
   病毒首先判断操作系统版本,以及explorer.exe的大小和修改时间, 并且创建事件对象"VBHSDDXCASDFERRBNM_BOB"来保证系统中只有一个实例在运行。
然后将自身文件复制到系统目录system32下,并释放cao220.txt与cao110.dll文件,设置隐藏属性。启动进程regsvr32.exe 参数为/s cao220.txt,安静模式执行命令。查找"AlertDialog"和"Product_Notification"窗口,模拟用户点击退出。过瑞星的实时监控,找到RavMon.exe进程,后枚举其中控制监视窗口的那个线程,模拟用户点击,关闭实时监控。填加注册表启动项SoftWare\Microsoft\Windows\CurrentVersion\Run,
键值为c:/windows/system32/zhido.exe。向explorer.exe中注入病毒代码,并远程执行。如果写入失败,则加载起cao110.dll,之后则进入消息循环中。
    释放的DLL中,没有看到具体行为。

四、清除方案:
1.删除释放文件
2.删除注册表SoftWare\Microsoft\Windows\CurrentVersion\Run中对应键值。


[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课

上传的附件:
  • 1.rar (989.38kb,40次下载)
收藏
免费 7
支持
分享
最新回复 (3)
雪    币: 96
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
2
不错,如果来点OD分析就更好了,谢谢。
2010-1-20 10:13
0
雪    币: 129
活跃值: (333)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
xed
3
不错,在详细点就好了。是写如Run中的,可以写入winlogon中的。
2010-1-20 15:44
0
雪    币: 324
活跃值: (45)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
4
不错的思路,能解决问题就行!
2010-1-20 15:44
0
游客
登录 | 注册 方可回帖
返回
//