首页
论坛
课程
招聘
[原创]新版机器狗代码逆向
2009-8-5 22:17 2615

[原创]新版机器狗代码逆向

2009-8-5 22:17
2615
http://bbs.pediy.com/showthread.php?t=94609
这个帖子中提到的是一个Agent类型的木马,它运行时会释放两个驱动程序,一个新版的机器狗代码,一个是利用PspTerminateProcess来结束进程的驱动,然后到http://0519qq.cn/ceshi/qq.txt下载这个木马列表

http://0519qq.cn/zzx/qq1.exe
http://0519qq.cn/zzx/qq2.exe
http://0519qq.cn/zzx/qq4.exe
http://0519qq.cn/zzx/qq5.exe
http://0519qq.cn/zzx/qq6.exe
http://0519qq.cn/zzx/qq7.exe
http://0519qq.cn/zzx/qq8.exe
http://0519qq.cn/zzx/qq9.exe
http://0519qq.cn/zzx/qq10.exe
http://0519qq.cn/zzx/qq11.exe
http://0519qq.cn/zzx/qq12.exe
http://0519qq.cn/zzx/qq13.exe
http://0519qq.cn/zzx/qq14.exe
http://0519qq.cn/zzx/qq16.exe
http://0519qq.cn/zzx/qq15.exe
http://0519qq.cn/zzx/qq17.exe
http://0519qq.cn/zzx/qq18.exe
http://0519qq.cn/zzx/qq19.exe
http://0519qq.cn/zzx/qq20.exe
http://0519qq.cn/zzx/qq21.exe
http://0519qq.cn/zzx/qq22.exe
(链接现在依然有效)

我将机器狗的代码逆向了一下,附件中是逆向得到的代码。ANTI代码被注释掉了,搜索ANTI即可
它只覆盖C:\WINDOWS\explorer.exe。

《0day安全 软件漏洞分析技术(第二版)》第三次再版印刷预售开始!

上传的附件:
收藏
点赞0
打赏
分享
最新回复 (5)
雪    币: 363
活跃值: 活跃值 (1581)
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
kanxue 活跃值 8 2009-8-6 10:00
2
0
zhzhtst的逆向功能好强
雪    币: 100
活跃值: 活跃值 (18)
能力值: ( LV13,RANK:970 )
在线值:
发帖
回帖
粉丝
nbw 活跃值 24 2009-8-6 12:27
3
0
膜顶一下   ~
雪    币: 310
能力值: (RANK:350 )
在线值:
发帖
回帖
粉丝
stalker 活跃值 8 2009-8-6 17:50
4
0
这样的病毒,根据链接,作者岂不是很容易被顺藤摸瓜找到?
雪    币: 369
活跃值: 活跃值 (11)
能力值: ( LV9,RANK:460 )
在线值:
发帖
回帖
粉丝
zhzhtst 活跃值 11 2009-8-6 18:40
5
0
他们并不是走正常手续来申请域名的,通过某些手段大批量申请。
雪    币: 273
活跃值: 活跃值 (11)
能力值: ( LV9,RANK:250 )
在线值:
发帖
回帖
粉丝
popeylj 活跃值 6 2009-8-6 23:17
6
0
编译通过~~~~
游客
登录 | 注册 方可回帖
返回