又一盗号木马
又一盗号木马 文件为kzlsfr.dll利用系统服务来加载运行 强制注入所有运行的进程文件解决方法:用(unlocker)工具删除 C:\windows\system32\kzlsfr.dll 文件和服务即可
或用(unlocker)工具删除 C:\windows\system32\kzlsfr.dll 再运行额附件里的批处理即可
以下为部分记录:-------
10002E54 55 PUSH EBP
10002E55 8BEC MOV EBP,ESP
10002E57 81EC 04020000 SUB ESP,204
10002E5D 53 PUSH EBX
10002E5E 56 PUSH ESI
10002E5F 57 PUSH EDI
10002E60 898D FCFDFFFF MOV DWORD PTR SS:,ECX
10002E66 50 PUSH EAX
10002E67 33C0 XOR EAX,EAX
10002E69 33C0 XOR EAX,EAX
10002E6B 33C0 XOR EAX,EAX
10002E6D 33C0 XOR EAX,EAX
10002E6F 33C0 XOR EAX,EAX
10002E71 33C0 XOR EAX,EAX
10002E73 0F84 03000000 JE 病毒分析.10002E7C
10002E79 E7 E8 OUT 0E8,EAX ; I/O 命令
10002E7B- E9 58C68500 JMP 1085F4D8
10002E80 FFFF ??? ; 未知命令
10002E82 FF00 INC DWORD PTR DS:
10002E84 B9 3F000000 MOV ECX,3F
10002E89 33C0 XOR EAX,EAX
10002E8B 8DBD 01FFFFFF LEA EDI,DWORD PTR SS:
10002E91 F3:AB REP STOS DWORD PTR ES:
10002E93 66:AB STOS WORD PTR ES:
10002E95 AA STOS BYTE PTR ES:
10002E96 68 FF000000 PUSH 0FF
10002E9B 8D85 00FFFFFF LEA EAX,DWORD PTR SS:
10002EA1 50 PUSH EAX
10002EA2 FF15 D8210110 CALL DWORD PTR DS:[<&kernel32.GetSystemD>; kernel32.GetSystemDirectoryA
10002EA8 68 C0400110 PUSH 病毒分析.100140C0 ; \
10002EAD 8D8D 00FFFFFF LEA ECX,DWORD PTR SS:
10002EB3 51 PUSH ECX
10002EB4 FF15 F8210110 CALL DWORD PTR DS:[<&kernel32.lstrcat>]; kernel32.lstrcatA
10002EBA C685 00FEFFFF 0>MOV BYTE PTR SS:,0
10002EC1 B9 3F000000 MOV ECX,3F
10002EC6 33C0 XOR EAX,EAX
10002EC8 8DBD 01FEFFFF LEA EDI,DWORD PTR SS:
10002ECE F3:AB REP STOS DWORD PTR ES:
10002ED0 66:AB STOS WORD PTR ES:
10002ED2 AA STOS BYTE PTR ES:
10002ED3 8B15 1C500110 MOV EDX,DWORD PTR DS:
10002ED9 52 PUSH EDX
10002EDA 8D85 00FFFFFF LEA EAX,DWORD PTR SS:
10002EE0 50 PUSH EAX
10002EE1 68 B4400110 PUSH 病毒分析.100140B4 ; %s%09x.ini
10002EE6 8D8D 00FEFFFF LEA ECX,DWORD PTR SS:
10002EEC 51 PUSH ECX
10002EED FF15 E0220110 CALL DWORD PTR DS:[<&USER32.wsprintfA>]; USER32.wsprintfA
10002EF3 83C4 10 ADD ESP,10
10002EF6 8D95 00FEFFFF LEA EDX,DWORD PTR SS:
10002EFC 52 PUSH EDX
10002EFD FF15 E0210110 CALL DWORD PTR DS:[<&kernel32.DeleteFile>; kernel32.DeleteFileA
10002F03 68 78520110 PUSH 病毒分析.10015278 《 C:\windows\system32\kzlsfr.sco》
10002F08 E8 77790000 CALL 病毒分析.1000A884
10002F0D 83C4 04 ADD ESP,4
10002F10 8B8D FCFDFFFF MOV ECX,DWORD PTR SS:
10002F16 E8 A9060000 CALL 病毒分析.100035C4
10002F1B 68 06590110 PUSH 病毒分析.10015906
10002F20 FF15 E0210110 CALL DWORD PTR DS:[<&kernel32.DeleteFile>; kernel32.DeleteFileA
10002F26 68 06580110 PUSH 病毒分析.10015806
10002F2B FF15 E0210110 CALL DWORD PTR DS:[<&kernel32.DeleteFile>; kernel32.DeleteFileA
10002F31 68 06570110 PUSH 病毒分析.10015706
10002F36 FF15 E0210110 CALL DWORD PTR DS:[<&kernel32.DeleteFile>; kernel32.DeleteFileA
10002F3C 68 065A0110 PUSH 病毒分析.10015A06
10002F41 FF15 E0210110 CALL DWORD PTR DS:[<&kernel32.DeleteFile>; kernel32.DeleteFileA
10002F47 68 06540110 PUSH 病毒分析.10015406 《C:\windows\system32\kzlsfr.key 记录系统所有操作保存》
10002F4C FF15 E0210110 CALL DWORD PTR DS:[<&kernel32.DeleteFile>; kernel32.DeleteFileA
10002F52 A1 1C600110 MOV EAX,DWORD PTR DS:
10002F57 50 PUSH EAX
10002F58 FF15 DC210110 CALL DWORD PTR DS:[<&kernel32.SetEvent>] ; kernel32.SetEvent
10002F5E 5F POP EDI
10002F5F 5E POP ESI
10002F60 5B POP EBX
10002F61 8BE5 MOV ESP,EBP
10002F63 5D POP EBP
10002F64 C3 RETN
[ 本帖最后由 pxf 于 2009-1-11 16:10 编辑 ] :L 太神奇了
看不懂:( 这也叫木马分析,无语!
回
这是高手的作品吗 强大,来这里学习的!
页:
[1]