首页
论坛
专栏
课程

[讨论]提供个病毒,本人很菜只知道他感染EXE文件请教大家看看他的原理

2012-8-12 15:29 6723

[讨论]提供个病毒,本人很菜只知道他感染EXE文件请教大家看看他的原理

2012-8-12 15:29
6723
最近中毒了,进了PE才收到删掉这个,但是他感染很多EXe文件,我小菜不知道啥原理,来请教下大家 谢谢指导

[推荐]看雪企服平台,提供安全分析、定制项目开发、APP等级保护、渗透测试等安全服务!

上传的附件:
上一主题 下一主题
最新回复 (5)
yuansunxue 6 2012-8-12 20:14
2
0
w32.sality
keikey 2012-9-16 21:43
3
0
通过沙箱对其监控,发现这个病毒还是做了不少事的。
1.收集主机信息,包括主机状态,用户名,网络共享文件夹,当前进程等;
2.提权并在explorer.exe中远程注入线程;
3.判断是否为调试状态;
4.安装键盘钩子,判断当前窗口是否为感兴趣的窗口,以便钩密码。
5.复制自已,到Temp目录,如ccghi.exe,vfdyf.exe等很多
6.打开一堆的服务
7.网络方面:打开6810端口侦听,连接一堆的网站,还有从网站下载gif等。

我把监控到的API函数写到bingdu.txt中,有兴趣你可以打开看看。
上传的附件:
keikey 2012-9-16 21:44
4
0
另外,从行为上看该程序不感染文件,但是会复制自身,典型木马特征。
网络游侠 2012-11-6 10:14
5
0
贴区段感染。

解决方法

自己写个工具,定位到被病毒感染的区段,然后删除该区段。修正PE头即可。
OnlyEnd 2012-11-12 11:40
6
0
先下下来看看,谢谢楼主分享~
游客
登录 | 注册 方可回帖
返回