首页
论坛
课程
招聘
雪    币: 106
活跃值: 活跃值 (10)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝

[旧帖] [原创]病毒分析报告 0.00元

2009-10-24 16:34 1238

[旧帖] [原创]病毒分析报告 0.00元

2009-10-24 16:34
1238
学习病毒分析,目前自己只达到了这个水平,不知道能不能拿个邀请码..这个病毒的样本,加了注释的IDB文件,释放的DLL,我打了一个包放了出来..释放的DLL不知道怎么回事,哪位大神可以给指点一下.
一、病毒标签:
病毒名称:  
病毒类型:  木马
文件MD5: 5CA7344508EC2EEF0A84E35150AC6FD25FC02C1C
文件长度:  脱壳前276,480字节,脱壳后376,832字节
受影响系统:Microsoft Windows NT 4.0
Microsoft Windows NT 4.0 Terminal Services Edition
Microsoft Windows 2000
Microsoft Windows XP
Microsoft Windows Server 2003
开发工具:未知
加壳类型: 未知
二、病毒描述:
   修改注册表,自启动,注入explorer.exe执行远程代码。
三、行为分析:
   病毒首先判断操作系统版本,以及explorer.exe的大小和修改时间, 并且创建事件对象"VBHSDDXCASDFERRBNM_BOB"来保证系统中只有一个实例在运行。
然后将自身文件复制到系统目录system32下,并释放cao220.txt与cao110.dll文件,设置隐藏属性。启动进程regsvr32.exe 参数为/s cao220.txt,安静模式执行命令。查找"AlertDialog"和"Product_Notification"窗口,模拟用户点击退出。过瑞星的实时监控,找到RavMon.exe进程,后枚举其中控制监视窗口的那个线程,模拟用户点击,关闭实时监控。填加注册表启动项SoftWare\Microsoft\Windows\CurrentVersion\Run,
键值为c:/windows/system32/zhido.exe。向explorer.exe中注入病毒代码,并远程执行。如果写入失败,则加载起cao110.dll,之后则进入消息循环中。
    释放的DLL中,没有看到具体行为。

四、清除方案:
1.删除释放文件
2.删除注册表SoftWare\Microsoft\Windows\CurrentVersion\Run中对应键值。

[公告]看雪论坛2020激励机制上线了!多多参与讨论可以获得积分快速升级?

上传的附件:
  • 1.rar (989.38kb,39次下载)
最新回复 (3)
雪    币: 96
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
收破烂的 活跃值 2010-1-20 10:13
2
0
不错,如果来点OD分析就更好了,谢谢。
雪    币: 51
活跃值: 活跃值 (14)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
xed 活跃值 2010-1-20 15:44
3
0
不错,在详细点就好了。是写如Run中的,可以写入winlogon中的。
雪    币: 324
活跃值: 活跃值 (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
wzhbell 活跃值 2010-1-20 15:44
4
0
不错的思路,能解决问题就行!
游客
登录 | 注册 方可回帖
返回