最大最专业黑客组织 -- 黑客联盟 -- Hacker Union For China -- www.ChinaHacker.Com -- 黑色矩防火墙 -- 专业防御DDOS攻击

联盟首页 技术文章 软件下载 DDOS防御 核心申请 分站申请 邮局系统 技术咨询 区域分化 广告合作 代理服务 版本V6.22

-------- Welcome To Hacker Union For China !Thank You For Your Support !--------
================ 维护祖国尊严 爱我中华 强我中华 耀我中华 ================
中国黑客联盟>>网络信息  |   中国黑客联盟>>系统知识  |  
中国黑客联盟>>网络信息>>安全防御>>改节表的感染型下载者WIN.exe的部分行为分析

改节表的感染型下载者WIN.exe的部分行为分析


改节表的感染型下载者WIN.exe的部分行为分析

本文涉及的问题:
1. 它是如何感染一个.EXE或.SCR文件的
2. 被感染文件被加入的代码内容及其行为
3. 基于1和2,简要说明被感染文件的修复问题

本文没有涉及的问题:
1. 该病毒如何修改注册表
2. 该病毒生成哪些病毒体文件(包括是否在磁盘根目录生成病毒副本)
3. 该病毒如何下载其他病毒
4. 该病毒感染哪些文件夹下的文件
以上这些内容,就待各位同仁去挖掘了。

样本来源:剑盟样本区http://bbs.janmeng.com/thread-675071-1-1.html
加壳情况:加UPX壳,直接用脱壳机脱壳(太懒了-_-)
脱壳后:基址13140000,入口点偏移00015570
分析方法:脱壳后OD载入看反汇编结果

病毒定性:(改节表)感染型下载者
前奏(准备工作):
创建名为wokaon的互斥对象,EnumWindows似乎是在找卡巴的窗口,找到后则先将系统年份改为1984年(7C0H),Sleep了20秒等卡巴挂掉后,再把时间改回来。这部分反汇编结果:
***************************************************************************************************
13155581 68 68561513 push 13155668 ; ASCII "wokaon"
13155586 6A 00 push 0
13155588 6A 00 push 0
1315558A E8 C508FFFF call <CreateMutex> ;Delphi封装函数
1315558F 8BD8 mov ebx, eax
13155591 E8 8609FFFF call <jmp.&KERNEL32.GetLastError>
13155596 3D B7000000 cmp eax, 0B7
1315559B 0F84 BA000000 je 1315565B
131555A1 C605 A8791513 0>mov byte ptr [131579A8], 0
131555A8 6A 00 push 0
131555AA 68 A4531513 push 131553A4
131555AF E8 800AFFFF call <jmp.&user32.EnumWindows>
131555B4 803D A8791513 0>cmp byte ptr [131579A8], 0
131555BB 75 07 jnz short 131555C4
131555BD E8 F2EAFFFF call 131540B4
131555C2 EB 44 jmp short 13155608
131555C4 68 98791513 push 13157998
131555C9 E8 5609FFFF call <jmp.&KERNEL32.GetLocalTime>
131555CE 66:8B1D 9879151>mov bx, word ptr [13157998]
131555D5 66:C705 9879151>mov word ptr [13157998], 7C0
131555DE 68 98791513 push 13157998
131555E3 E8 DC09FFFF call <jmp.&KERNEL32.SetLocalTime>
131555E8 68 204E0000 push 4E20
131555ED E8 CA64FFFF call <jmp.&KERNEL32.Sleep>
131555F2 E8 BDEAFFFF call 131540B4
131555F7 66:891D 9879151>mov word ptr [13157998], bx
131555FE 68 98791513 push 13157998
13155603 E8 BC09FFFF call <jmp.&KERNEL32.SetLocalTime>
13155608 68 10270000 push 2710
1315560D E8 AA64FFFF call <jmp.&KERNEL32.Sleep>
***************************************************************************************************
创建两个线程,一个用于植入病毒和感染文件,另一个应该是用于下载的。
***************************************************************************************************
1315561C 68 90791513 push 13157990
13155621 6A 00 push 0
13155623 6A 00 push 0
13155625 68 88481513 push offset <ThreadFun1>
1315562A 6A 00 push 0
1315562C 6A 00 push 0
1315562E E8 4908FFFF call <jmp.&KERNEL32.CreateThread>
13155633 68 94791513 push 13157994
13155638 6A 00 push 0
1315563A 6A 00 push 0
1315563C 68 14501513 push offset <ThreadFun2>
13155641 6A 00 push 0
13155643 6A 00 push 0
13155645 E8 3208FFFF call <jmp.&KERNEL32.CreateThread>
***************************************************************************************************
我比较关心感染文件的内容。感染前有判断驱动器属性,不过Delphi对此封装得太多,我看call看得眼花。所以它是哪些文件夹下的文件不感染,哪些文件夹下的文件被感染,这个我没有仔细看。



原作者:不详
来 源:不详
共有3586位读者阅读过此文

□- 本周热门文章
1.简单介绍黑客破解口令 常用的三种方法[57665]
2.九则 Windows XP系统使用经...[25834]
3.结束进程的N种方法(RING0 AN...[16367]
4.诺基亚6210遭受DoS攻击 易死机...[12204]
5.熊猫烧香余香未绝 警方怀疑漏网嫌犯仍...[9096]
6.ManageEngine Deskt...[8995]
7.全国首例QQ盗号案审结 判处被告拘役...[8344]

关于我们 | 分站申请 | 成员申请 | 技术论坛 | 站内导航 | 合作伙伴 | 联系我们

Copyrights © 2002 - 2019 www.ChinaHacker.com All Rights Reserved

版权所有   中 国 黑 客 联 盟

(Hacker Union For China V 6.22)

闽ICP备05007859号