Win32.Downloader样本的修复

Win32.Downloader样本的修复

这个就是前段日子比较流行的感染下载器

基本原理是修改PE文件,增加一区段,应该是255字节并修改程序入口点,优先执行病毒体

里面包含下载木马的命令


另外因为被感染的程序加了UPX壳,所以只能带壳分析``

基本上思路是:

1、初始API后，病毒查找GetProcAddress获得病毒所需的函数入口地址，并保
存：

2、下载木马，并保存至：c:\Program Files\Common Files\WIN.exe(也是感染下载者)

3、这个Win.exe会跳过一些敏感文件,并感染EXE\SCR文件,然后下载：

000131C0 13153DC0    0 c:\Program Files\Common Files\m1.exe
000131E8 13153DE8    0 htp://hhh.wokaon.cn/m1.exe
00013204 13153E04    0 c:\Program Files\Common Files\m2.exe
0001322C 13153E2C    0 htp://hhh.wokaon.cn/m2.exe
00013248 13153E48    0 c:\Program Files\Common Files\m3.exe
00013270 13153E70    0 htp://hhh.wokaon.cn/m3.exe
0001330C 13153F0C    0 c:\Program Files\Common Files\m1.exe
00013334 13153F34    0 htp://hhh.wokaon.cn/m1.exe
00013350 13153F50    0 c:\Program Files\Common Files\m2.exe
00013378 13153F78    0 htp://hhh.wokaon.cn/m2.exe
00013394 13153F94    0 c:\Program Files\Common Files\m3.exe
000133BC 13153FBC    0 htp://hhh.wokaon.cn/m3.exe

4、然后再跳到原程序入口执行正常的程序


修复比较简单

1、删除被增加的区段

2、对齐镜像头部大小

3、修改入口，就OK了
样本地址:http://bbs.janmeng.com/thread-668279-1-1.html