首页
论坛
课程
招聘
[原创]一个简单病毒的分析
2010-8-19 17:37 12912

[原创]一个简单病毒的分析

2010-8-19 17:37
12912
生平在看雪的第一篇帖子,本人小菜,就拿一简单病毒入手,大牛们见笑....

病毒信息:
病毒类型: 后门
文件 MD5: 2A1AEF106795864CA9DB643A116807DC
加壳类型: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo

病毒行为:

释放文件:
c:\WINDOWS\Fonts\wuauclt.exe

病毒行为:
1.        提升自身权限;

2.        加载urlmon.dll,得到URLDownloadToFile函数的地址.调用函数下载病毒文件http://360.1s.fr/ps.jpg到c:\windwos\fonts\gern.fon目录下。




3.        在c盘根目录下生成sa.exe文件,设置文件为文件夹样式并设置为隐藏属性。运行sa.exe,然后调用CMD命令结束wuault(系统自动更新)进程,然后将病毒本身拷贝到system下的font目录中并重新命名为wuault.exe。病毒运行font目录下的wuault程序后,调用cmd命令删除自体。


0012FBFC   0040247E  ~$@.  /CALL 到 WinExec 来自 dumped_.0040247C
0012FC00   0012FF20   .  |CmdLine = "cmd /c del "C:\Documents and Settings\commander\桌面\dumped_.exe""
0012FC04   00000000  ....  \ShowState = SW_HIDE
0012FC08   7C930738  8搢   ntdll.7C930738
4.将病毒信息保存在c:\windows\font\gern.fon文件中,从这个文件中读取信息并设置为IE首页。


5.开启1083端口等待网络连接..

附件:样本文件及加壳后文件。。因为是病毒所以加了密码,解压密码为:xiaoju

2022 KCTF春季赛【最佳人气奖】火热评选中!快来投票吧~

上传的附件:
收藏
点赞0
打赏
分享
最新回复 (17)
雪    币: 168
活跃值: 活跃值 (224)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
wujimaa 活跃值 1 2010-8-19 17:47
2
0
不错,有空我也玩一下.
雪    币: 59
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:30 )
在线值:
发帖
回帖
粉丝
ccnyou 活跃值 2010-8-19 17:55
3
0
感谢分享!有空我也玩下
雪    币: 1340
活跃值: 活跃值 (1651)
能力值: ( LV12,RANK:490 )
在线值:
发帖
回帖
粉丝
熊猫正正 活跃值 9 2010-8-20 15:55
4
0
很好!很基础!
雪    币: 182
活跃值: 活跃值 (11)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
denglifeng 活跃值 1 2010-8-20 21:28
5
0
不错,顶一个
雪    币: 284
活跃值: 活跃值 (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
jerrynpc 活跃值 2010-8-20 22:37
6
0
太强大了,无法学习了。
雪    币: 26
活跃值: 活跃值 (997)
能力值: ( LV17,RANK:1820 )
在线值:
发帖
回帖
粉丝
riusksk 活跃值 41 2010-8-20 22:57
7
0
顺路BS楼上这位小朋友!!!
雪    币: 13
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
Greater 活跃值 2010-8-23 15:33
8
0
加载urlmon.dll,得到URLDownloadToFile函数的地址.调用函数下载病毒文件http://360.1s.fr/ps.jpg到c:\windwos\fonts\gern.fon目录下。

麻烦哪位大侠告诉我这个加载时在哪儿进行的啦
貌似我没有跟踪到啦???
雪    币: 247
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
hufo 活跃值 2010-8-26 15:24
9
0
再次bs 这位小朋友
雪    币: 203
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
不会汇编 活跃值 2010-8-26 16:23
10
0
其实现在发现,很多高深的技术都是体现在病毒里面
雪    币: 8
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
sunying 活跃值 2010-8-26 16:43
11
0
我发现汇编才是我们的程序设计思想的体现
雪    币: 301
活跃值: 活跃值 (23)
能力值: ( LV7,RANK:110 )
在线值:
发帖
回帖
粉丝
kkmylove 活跃值 2 2010-8-26 16:58
12
0
不错 顶一下
雪    币: 478
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
flyingayi 活跃值 2010-8-27 00:42
13
0
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
lovertoday 活跃值 2010-8-27 00:53
14
0
不错,可以尝试着来一下
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
羿小冰 活跃值 2010-8-27 09:50
15
0
不错不错.菜鸟飘过
雪    币: 200
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
lkjlkj 活跃值 2010-8-28 19:31
16
0
学习学习了。
雪    币: 52
活跃值: 活跃值 (12)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
perisher 活跃值 2010-8-30 14:25
17
0
瞅瞅来
雪    币: 202
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
shuili 活跃值 2010-11-10 11:33
18
0
不错。。对新手很有帮助。。。。
游客
登录 | 注册 方可回帖
返回