9,515
社区成员
发帖
与我相关
我的任务
分享winnt.exe病毒分析
【破解过程】程序没有ICON. PEID查壳.UPX的.简单..OD载入脱之.
脱壳后PEID查为delphi 6.0/7.0..
IDA载入之..先分析下字符串吧..
程序运行后..调用相应函数创建病毒文件.
------------------------------------------------->
UPX0:13156628 s_CWin_txt_0 db 'c:\win.txt',0
UPX0:13156634 s_HttpLjs_tes_0 db 'http://ljs.tese123.info/ljs.txt',0
..函数原型在上面.没有列出.简单的下载http://ljs.tese123.info/ljs.txt 文件放到c:\win.txt中.此文件应该标示了病毒的一些特性.或许包含了本机信息
x下面病毒试图关闭杀毒软件.或者防火墙..AVP.Tray 这个..我也不知道是啥. 反正也是调用了普通病毒应有的歪门邪道的方法.
下面程序开始遍历进程..(没有提升权限?) 插入进程.注意这个进程哟.IEXPLORE.EXE
下面开始写入系统服务了..
---------------------------------------------------------->
注册表:SYSTEM\\CurrentControlSet\\Services\\WinINI
服务名:Description
服务描述:管理基于Windows对象模型 (COM+) 的组件的配置和跟踪。如果禁用此服务,显式依赖此服务的其他服务将无法启动。
------------------------------------------------------------>
吼吼..下面就开始释放病毒文件咯..
UPX0:1315BC09 mov edx, offset s_Myexe ; "myexe" 释放"my.exe"
UPX0:1315BC0E mov eax, offset s_Exefile ; "exefile"
UPX0:1315BC13 call sub_131563C0
UPX0:1315BC13
UPX0:1315BC18 mov ecx, offset s_CWinsys_inf ;释放 "c:\\winsys.inf"
UPX0:1315BC1D mov edx, offset s_Myinf ; "myinf"
UPX0:1315BC22 mov eax, offset s_Inffile ; "inffile"
UPX0:1315BC27 call sub_131563C0
UPX0:1315BC27
UPX0:1315BC2C mov ecx, offset s_CWinsys_sys ;释放 "c:\\winsys.sys"
UPX0:1315BC31 mov edx, offset s_Mysys ; "mysys"
UPX0:1315BC36 mov eax, offset s_Sysfile ; "sysfile"
UPX0:1315BC3B call sub_131563C0
UPX0:1315BC3B
UPX0:1315BC40 push 0BB8h ; dwMilliseconds
UPX0:1315BC45 call Sleep
UPX0:1315BC45
UPX0:1315BC4A push 0 ; uCmdShow
UPX0:1315BC4C push offset CmdLine ; "c:\\winsys.exe" ;这个是命令行参数吧.谁知道.
UPX0:1315BC51 call WinExec
UPX0:1315BC51
UPX0:1315BC56 retn
下面就更改系统时间了..然后还创建了一个time.bat批处理文件.用来一直修改时间
可以看出来...这个病毒是一个下载者..躲避防火墙后.插入进程...创建系统服务..释放一系列的病毒文件.(病毒文件的作用应该是用来躲避杀毒软件的查杀.)..甚至还用了sys驱动文件..
其后应该就开始下载一系列的病毒文件了..这个就不一一赘述了.
------------------------------------------------------------------------
【破解总结】用了常规的方法传输数据..但是增加了绕过防火墙..插入进程.创建系统服务等一系列猥琐手段..还是有点强度的.
脱壳后PEID查为delphi 6.0/7.0..
IDA载入之..先分析下字符串吧..
程序运行后..调用相应函数创建病毒文件.
------------------------------------------------->
UPX0:13156628 s_CWin_txt_0 db 'c:\win.txt',0
UPX0:13156634 s_HttpLjs_tes_0 db 'http://ljs.tese123.info/ljs.txt',0
..函数原型在上面.没有列出.简单的下载http://ljs.tese123.info/ljs.txt 文件放到c:\win.txt中.此文件应该标示了病毒的一些特性.或许包含了本机信息
x下面病毒试图关闭杀毒软件.或者防火墙..AVP.Tray 这个..我也不知道是啥. 反正也是调用了普通病毒应有的歪门邪道的方法.
下面程序开始遍历进程..(没有提升权限?) 插入进程.注意这个进程哟.IEXPLORE.EXE
下面开始写入系统服务了..
---------------------------------------------------------->
注册表:SYSTEM\\CurrentControlSet\\Services\\WinINI
服务名:Description
服务描述:管理基于Windows对象模型 (COM+) 的组件的配置和跟踪。如果禁用此服务,显式依赖此服务的其他服务将无法启动。
------------------------------------------------------------>
吼吼..下面就开始释放病毒文件咯..
UPX0:1315BC09 mov edx, offset s_Myexe ; "myexe" 释放"my.exe"
UPX0:1315BC0E mov eax, offset s_Exefile ; "exefile"
UPX0:1315BC13 call sub_131563C0
UPX0:1315BC13
UPX0:1315BC18 mov ecx, offset s_CWinsys_inf ;释放 "c:\\winsys.inf"
UPX0:1315BC1D mov edx, offset s_Myinf ; "myinf"
UPX0:1315BC22 mov eax, offset s_Inffile ; "inffile"
UPX0:1315BC27 call sub_131563C0
UPX0:1315BC27
UPX0:1315BC2C mov ecx, offset s_CWinsys_sys ;释放 "c:\\winsys.sys"
UPX0:1315BC31 mov edx, offset s_Mysys ; "mysys"
UPX0:1315BC36 mov eax, offset s_Sysfile ; "sysfile"
UPX0:1315BC3B call sub_131563C0
UPX0:1315BC3B
UPX0:1315BC40 push 0BB8h ; dwMilliseconds
UPX0:1315BC45 call Sleep
UPX0:1315BC45
UPX0:1315BC4A push 0 ; uCmdShow
UPX0:1315BC4C push offset CmdLine ; "c:\\winsys.exe" ;这个是命令行参数吧.谁知道.
UPX0:1315BC51 call WinExec
UPX0:1315BC51
UPX0:1315BC56 retn
下面就更改系统时间了..然后还创建了一个time.bat批处理文件.用来一直修改时间
可以看出来...这个病毒是一个下载者..躲避防火墙后.插入进程...创建系统服务..释放一系列的病毒文件.(病毒文件的作用应该是用来躲避杀毒软件的查杀.)..甚至还用了sys驱动文件..
其后应该就开始下载一系列的病毒文件了..这个就不一一赘述了.
------------------------------------------------------------------------
【破解总结】用了常规的方法传输数据..但是增加了绕过防火墙..插入进程.创建系统服务等一系列猥琐手段..还是有点强度的.
...全文
请发表友善的回复…
发表回复
