扫一扫
分享文章到微信
扫一扫
关注官方公众号
至顶头条
这是网友送的一个下载者的样本。最近在各大论坛看到不少关于这种下载者的求助
感觉回到了之前的随机七位、八位的时代,虽然没有什么技术含量,下载者也没有啥新意,但还是决定将其分析一下。
仅供喜欢分析病毒的网友进行交流,文中存在许多错误,还请各位高手批评指正。
个人分析方式与病毒行为欠佳或是遗漏的,还望各位不吝赐教
作者:桃子CiCi 时间:07年8月20日
QQ:176498851
病毒木马救援、交流:www.du110.com 流氓怕武术论坛
============================================================================
文件: C:\Documents and Settings\Administrator\桌面\874EEF_(1)vip[1].exe
大小: 21547 字节
修改时间: 2005年8月19日 星期五, 17:33:40
MD5: 874EEF9A6FE15239E84824104B293FC7
SHA1: 2013449806A61C1E34C50BCEFD4F3.57AA5D4340B
CRC32: E7A99753
aspack的壳特点就是跳来跳去(自己的体会)!调试者稍不注意很容易将程序运行。
OD载入来到这里。(练下脱壳,就不用ESP定律了)
0040F001 > 60 PUSHAD //F8马上会马上运行,
0040F002 E8 03000000 CALL 874EEF_(.0040F00A
0040F007 - E9 EB045D45 JMP 459DF4F7
0040F00C 55 PUSH EBP //F4来到这里
0040F00D C3 RETN //F8到此,情况与上面相同
0040F00E E8 01000000 CALL 874EEF_(.0040F014
0040F013 EB 5D JMP SHORT 874EEF_(.0040F072
0040F015 B.B EDFFFFFF MOV EBX,-13 //F4到这里
0040F01A 03DD ADD EBX,EBP
0040F01C 81EB 00F00000 SUB EBX,0F000
0040F022 83BD 22040000 0>CMP DWORD PTR SS:[EBP+422],0
0040F029 899D 22040000 MOV DWORD PTR SS:[EBP+422],EBX
0040F02F 0F85 65030000 JNZ 874EEF_(.0040F39A
0040F035 8D85 2E040000 LEA EAX,DWORD PTR SS:[EBP+42E]
0040F03B 50 PUSH EAX
0040F03C FF95 4D0F0000 CALL DWORD PTR SS:[EBP+F4D]
0040F042 8985 26040000 MOV DWORD PTR SS:[EBP+426],EAX //为防止运行,直接F4
……………………………………………………///中间省略,常规调试,一直F8,遇callF4
0040F13F 49 DEC ECX
0040F140 ^ EB EB JMP SHORT 874EEF_(.0040F12D //回跳。避免
0040F142 8B06 MOV EAX,DWORD PTR DS:[ESI] //F4到这里
0040F144 /EB 00 JMP SHORT 874EEF_(.0040F146
0040F146 \803E 01 CMP BYTE PTR DS:[ESI],1
0040F149 ^ 75 F3 JNZ SHORT 874EEF_(.0040F13E
0040F14B 24 00 AND AL,0
0040F14D C1C0 18 ROL EAX,18
0040F150 2BC3 SUB EAX,EBX
0040F152 8906 MOV DW.ORD PTR DS:[ESI],EAX
0040F154 83C3 05 ADD EBX,5
0040F157 83C6 04 ADD ESI,4
0040F15A 83E9 05 SUB ECX,5
0040F15D ^ EB CE JMP SHORT 874EEF_(.0040F12D
0040F15F 5B POP EBX //F4运行到这里
继续F8过,见跳自动跳到这里
0040F19D 83C6 08 ADD ESI,8
0040F1A0 833E 00 CMP DWORD PTR DS:[ESI],0
0040F1A3 ^ 0F85 1EFFFFFF JNZ 874EEF_(.0040F0C7
0040F1A9 68 00800000 PUSH 8000 //F4到这里,继续F8
0040F376 8907 MOV DWORD PTR DS:[EDI],EAX
0040F378 8385 49050000 0>ADD DWORD PTR SS:[EBP+549],4
0040F37F ^ E9 32FFFFFF JMP 874E.EF_(.0040F2B6
0040F384 8906 MOV DWORD PTR DS:[ESI],EAX //F4到这里,继续F8
0040F386 8946 0C MOV DWORD PTR DS:[ESI+C],EAX
0040F389 8946 10 MOV DWORD PTR DS:[ESI+10],EAX
0040F38C 83C6 14 ADD ESI,14
0040F38F 8B95 22040000 MOV EDX,DWORD PTR SS:[EBP+422]
0040F395 ^ E9 EBFEFFFF JMP 874EEF_(.0040F285
0040F39A B8 AF210000 MOV EAX,21AF //F4到这里,F8继续走
0040F39F 50 PUSH EAX
0040F3A0 0385 22040000 ADD EAX,DWORD PTR SS:[EBP+422]
0040F3A6 59 POP ECX
0040F3A7 0BC9 OR ECX,ECX
0040F3A9 8985 A8030000 MOV DWORD PTR SS:[EBP+3A8],EAX
0040F3AF 61 POPAD //注意这里,应该马上就到OEP了。
0040F3B0 75 08 JNZ SHORT 8.74EEF_(.0040F3BA //马上就跳到程序入口点了,继续走
来到入口点:
成功脱壳!VC写的
运行病毒后,使用SREng扫描日志,打开失败。
QQ也无法运行,提示.TIMplatform错误。
打开IE,主页被更改为nba.916kk.com,此时开始链接毒网下马,可惜没有仔细观察。然后自动跳转至百度,掩人耳目。
成功植入系统后,在各分区生成如下文件,通过U盘传播,通过双击盘符激动病毒!
X:\Autorun.inf----X代表各分区
X:\auto.exe
在C盘根目录生成ggkb.bat
该批处理文件将系统时间改为:2005-01-18(未见实现)
连续ping 127.0.0.143次
通过更改系统时间使卡巴斯基反病毒软件6.0无法使用
system\currentcontrolset\services\添加.注册表项,将自身注册为系统服务(见日志的随机服务)
将成功植入文件后通过生成的delme.bat,检测是否存在ggkb.bat,如果存在将自身删除。
链接毒网,下载流行木马若干!(列举不全,实在是太多,汗。。。。)
C:\windows\system32\TempA.exe
C:\windows\system32\TempB.exe
C:\windows\system32\TempC.exe
C:\windows\system32\F77B20D5.EXE
C:\windows\Kvsc3.exe
C:\windows\mppds.exe
C:\windows\LYLoader.exe
C:\windows\LYLoadbr.exe
C:\windows\LYLeador.exe
C:\windows\LYLoador.exe
C:\windows\LYLoader.exe
C:\windows\LYLoadmr.exe
C:\windows\LYLoadhr.exe
C:\windows\LYLoadqr.exe
C:\windows\system32\zxgpri.dll
C:\windows\system32\dhdpri.dll
C:\windows\system32\system.dat
C:\windows\system.32\F77B20D5.EXE
C:\windows\system32\2DD519ED.EXE
C:\windows\system32\msdebug.dll
C:\windows\srcsvc.exe
C:\WINDOWS\system32\giveio.sys
C:\WINDOWS\System32\DRIVERS\vlps.sys
***************************************************************
SREng日志中的异常项
启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<Kvsc3><C:\windows\Kvsc3.exe> []
<mppds><C:\windows\mppds.exe> []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><dhdpri.dll> []
[HKEY_LOCAL_MACHINE\SOF.TWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{5D83AD9C-3BFC-43F5-979D-2904DBC54A8E}><C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys> []
<{42311A42-AC1B-158F-FD32-5674345F23A4}><C:\WINDOWS\system32\dhdpri.dll> []
<{5EED7056-B89D-4DE8-A060-D285EA746799}><C:\WINDOWS\Netijo.dll> []
<{7A65498A-7653-9801-1647-987114AB7F47}><C:\WINDOWS\system32\zxgpri.dll> []
<{ACADABAF-0000-0010-8000-10AA006D2EA4}><C:\windows\system32\system.dat> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer\Run]
<MSDEG32><LYLoader.exe> []
<MSDWG32><LYLoadbr.exe> [N/A]
<MSDCG32 ><LYLeador.exe> [N/A]
<MSDOG32><LYLoador.exe> [N/A]
<MSDSG32><LYLoadar.exe> [N/A]
<MSDMG32><LYLoadmr.exe> [N/A]
<MSDHG32><LYLoadhr.exe> [N/A]
<MSDQG32><LYLoadqr.exe> [N/A]
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><zxgpri.dll> []
==================================
服务
[FB000E3A / FB000E3A][Sto.pped/Auto Start]
<C:\windows\system32\F77B20D5.EXE -k><Microsoft Corporation>
[Remote Debug Service / RemoteDbg][Stopped/Auto Start]
<C:\WINDOWS\system32\rundll32.exe RemoteDbg.dll,input><Microsoft Corporation>
[AEA6EAEC / AEA6EAEC][Stopped/Auto Start]
<C:\windows\system32\2DD519ED.EXE -p><N/A>
[SRCSVC / SRCSVC][Stopped/Auto Start]
<C:\windows\srcsvc.exe><N/A>
[Win32 Debug Service / MSDebugsvc][Stopped/Auto Start]
<C:\windows\system32\rundll32.exe msdebug.dll,input><Microsoft Corporation>
==================================
驱动程序
[giveio / giveio][Running/Auto Start]
<\??\C:\WINDOWS\system32\giveio.sys><N/A>
[jdom8b / jdom8b2][Running/Boot Start]
<\SystemRoot\System32\DRIVERS\jdom8b2.sys><N/A>
[jh66 / jh66][Running/Manual Start]
<2 - 系统找不到指定的文件。
><N/A>
[vlps / vlps][Running/Boot .Start]
<\SystemRoot\System32\DRIVERS\vlps.sys><N/A>
[wgjd / wgjd][Running/Auto Start]
<\??\C:\WINDOWS\system32\drivers\wgjd.sys><N/A>
==================================
该部分实在是太多,就不帖了,下面这些垃圾见进程就插(包括关键的系统进程在内)
[C:\WINDOWS\system32\dhdpri.dll] [N/A, ]
[C:\WINDOWS\system32\B88D40BA.DLL] [Microsoft Corporation, ]
[C:\WINDOWS\system32\zxgpri.dll] [N/A, ]
[C:\WINDOWS\system32\FF7E9A3C.DLL] [Microsoft Corporation, ]
[C:\Program Files\Internet Explorer\PLUGINS\WinSys64.Sys] [N/A, ]
[C:\WINDOWS\winow.dll] [N/A, ]
[C:\WINDOWS\system32\system.dat] [N/A, ]
[C:\Program Files\WinRAR\rarext.dll] [N/A, ]
[C:\WINDOWS\syste.m32\Kvsc3.dll] [N/A, ]
[C:\WINDOWS\Netijo.dll] [N/A, ]
[C:\WINDOWS\system32\upxdnd.dll] [N/A, ]
[C:\WINDOWS\system32\zeroexplorer.dat] [N/A, ]
[C:\WINDOWS\system32\LYMANGR.DLL] [N/A, ]
[C:\WINDOWS\system32\mppds.dll] [N/A, ]
==================================
Autorun.inf
[C:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
[D:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
[E:\]
[AutoRun]
open=auto.exe
shellexecute=auto.exe
shell\Auto\command=auto.exe
==================================
至于解决方案……
由于该下载者实在是下载的毒马太多,由中此毒之后根据连网的时间而下载的数量不一,所以
很难给出通用的解决方案,中此下载者的网友,断网后,提交正确的SREng日志,可以根据实际情况彻底清除
特别提示:
如果清理病毒后,出现QQ启动错误提示的,请把QQ 安装文件夹中的Timplatform.exe删除 将Timplatfrom.exe重命名为Timplatform.exe
将系统时间调回正常
升级杀软,全盘扫描!
如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。
京公网安备 11010802021500号