 |
  |
|
| 首页 | 技术文章 | 软件下载 | 博客 | 论坛 | 精品教程 | 黑客动画 | 视频资源 | 在线服务 | 黑客游戏 | | ||||
 |
|
|||||||
|
||||||||
|
|||||
| avserve病毒初步分析 | |||||
作者:mejy 文章来源:http://blog.csdn.net/sunwear 点击数: 更新时间:2005-2-15  |
|||||
|
00401EA9 |. 57 PUSH EDI ; |Socket 00401EAA |. 8975 F0 MOV DWORD PTR SS:[EBP-10],ESI ; | 00401EAD |. FF15 18514000 CALL DWORD PTR DS:[<&ws2_32.bind>] ; \bind 绑定一个socket 00401EB3 |. 83F8 FF CMP EAX,-1 00401EB6 |. 74 0E JE SHORT dumped_.00401EC6 00401EB8 |. 6A 05 PUSH 5 ; /Backlog = 5 00401EBA |. 57 PUSH EDI ; |Socket 00401EBB |. FF15 FC504000 CALL DWORD PTR DS:[<&ws2_32.listen>] ; \listen 监听,队列长度是5 网络牛人们知道是干吗的 00401EC1 |. 83F8 FF CMP EAX,-1 这里跳到下面去 , 00401EC4 |. 75 09 JNZ SHORT dumped_.00401ECF 00401EC6 |> 57 PUSH EDI ; /Socket 00401EC7 |. FF15 00514000 CALL DWORD PTR DS:[<&ws2_32.closesocket>>; \closesocket 关闭socket 干完坏事,还没忘这个! 00401ECD |.^EB B7 JMP SHORT dumped_.00401E86 从上面跳到下面 00401ECF |> 56 /PUSH ESI ; /pAddrLen 00401ED0 |. 56 |PUSH ESI ; |pSockAddr 00401ED1 |. 57 |PUSH EDI ; |Socket 00401ED2 |. FF15 E4504000 |CALL DWORD PTR DS:[<&ws2_32.accept>] ; \accept 接受连接吧这里应该忘了 程序到了这里,不动了,没法向下调试了,因为我没找到目标 不过往下看看就知道了,应该是产生IP地址并试图攻击。具体怎么作我不分析了。说多了不好。 00401ED8 |. 8D4D FC |LEA ECX,DWORD PTR SS:[EBP-4] 00401EDB |. 51 |PUSH ECX ; /pThreadId 00401EDC |. 56 |PUSH ESI ; |CreationFlags 00401EDD |. 50 |PUSH EAX ; |pThreadParm 00401EDE |. 68 031B4000 |PUSH dumped_.00401B03 ; |ThreadFunction = dumped_.00401B03 00401EE3 |. 56 |PUSH ESI ; |StackSize 00401EE4 |. 56 |PUSH ESI ; |pSecurity 00401EE5 |. FF15 38504000 |CALL DWORD PTR DS:[<&kernel32.CreateThr>; \CreateThread 00401EEB |. 6A 19 |PUSH 19 ; /Timeout = 25. ms 00401EED |. FF15 1C504000 |CALL DWORD PTR DS:[<&kernel32.Sleep>] ; \Sleep 00401EF3 \.^EB DA \JMP SHORT dumped_.00401ECF 00401EF5 . 83EC 54 SUB ESP,54 00401EF8 . 53 PUSH EBX 00401EF9 . 55 PUSH EBP 00401EFA . 8B2D DC504000 MOV EBP,DWORD PTR DS:[<&user32.wsprintfA>; user32.wsprintfA 这里再省略一部分 00401FBB . 8BCE MOV ECX,ESI 00401FBD . F7F9 IDIV ECX 00401FBF . 52 PUSH EDX 00401FC0 > 8D4424 20 LEA EAX,DWORD PTR SS:[ESP+20] 00401FC4 . 68 4C6A4000 PUSH dumped_.00406A4C ; ASCII "%i.%i.%i.%i" IP地址的格式哟 00401FC9 . 50 PUSH EAX 00401FCA . FFD5 CALL EBP 00401FCC . 83C4 18 ADD ESP,18 00401FCF . 8D4424 10 LEA EAX,DWORD PTR SS:[ESP+10] 00401FD3 . 50 PUSH EAX 00401FD4 . E8 39FAFFFF CALL dumped_.00401A12 00401FD9 . 59 POP ECX 00401FDA . 68 FA000000 PUSH 0FA ; /Timeout = 250. ms 00401FDF . FF15 1C504000 CALL DWORD PTR DS:[<&kernel32.Sleep>] ; \Sleep 这么快就干坏事 00401FE5 .^E9 1DFFFFFF JMP dumped_.00401F07 -------------------------------------------------------------------------------- 至此,分析完毕!至于病毒如何利用漏洞来实现shell的,本人水平有限和一些原因不分析了,有兴趣的自己研究 最后申明,到这里大家自己写一个破坏系统的程序已经足够了!不过由此引发的后果本人不负责任! 写完感觉有点班门弄斧之闲!不过毕竟是我第一次分析病毒,愿和大家共享!病毒原来如此简单! 转载请保持完整性! |
|||||
| 文章录入:IceRiver 责任编辑:IceRiver | |||||
| 【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 | |||||
 网友评论:(只显示最新5条。评论内容只代表网友观点,与本站立场无关!) |
 |
|
| 关于我们 - 版权声明 - 帮助(?) - 广告服务 - 联系我们 - 友情链接 - 用户注册 - | Powered by ICE RIVER - STUDIO |
|
|
| » CnXHacker.CoM |  |
© CopyRight 2002-2006, CnXHacker.CoM™, Inc. All Rights Reserved. |
