apxar 发表于 2014-4-22 22:20

一枚来自小伙伴的病毒

本帖最后由 apxar 于 2014-4-22 23:20 编辑

一.基本信息文件名称:1.exeMD5:b656d3e3e2554878863b69eecd1b009fSha-1:aa082e95556e934a4376742ab24f97ce638c69a1来源: http://www.52pojie.cn/thread-247471-1-1.html(来自我们论坛的一位小伙伴)环境: xp虚拟机+ida
二.小伙伴说用ida分析报告,那就用IDA分析一下吧,希望尽量能扒光它>_<.

lpFilename的值为::


当返回失败,即文件不存在时,拷贝母体,然后关闭(图5)


上面Delete函数中的主要操作为提高权限,删除母体,函数主要部分如下
当返回成功时:
进行判断,查MSDN ,16代表The handle that identifies a directory.即一个文件夹

当为文件加时,执行和图5相同的操作,即如下

当不是上面的情况时,判断与系统的文件中的程序是否为同一程序

当不是同一文件时:执行删除文件,然后执行图5 操作(此处省略)

当为同一个程序时:


经过(不研究,只要结果)解密得到地址:http://121.12.115.10:123/ay/od.txt
访问后:

下载文件函数Download如下:

Dll加载成功后,执行下载:下载成功后,执行下载后的文件:



由于地址已经失效,无法验证下载后的文件内容,只能简单的分析:但是后面对ini文件操作部分,显然是取出ini文件格式中的jc,mz,ys,url字段代码如下:UPX0:004027F6 push    offset aCWindowsSystem ; lpFileName
UPX0:004027FB push    80h             ; nSize
UPX0:00402800 push    eax             ; lpReturnedString
UPX0:00402801 push    offset Default; lpDefault
UPX0:00402806 push    offset KeyName; "jc"
UPX0:0040280B push    ecx             ; lpAppName
UPX0:0040280C call    ebp ; GetPrivateProfileStringA
UPX0:0040280E push    offset aCWindowsSystem ; lpFileName
UPX0:00402813 lea   edx,
UPX0:00402817 mov   eax,
UPX0:0040281B push    80h             ; nSize
UPX0:00402820 push    edx             ; lpReturnedString
UPX0:00402821 push    offset Default; lpDefault
UPX0:00402826 push    offset aMz      ; "mz"
UPX0:0040282B push    eax             ; lpAppName
UPX0:0040282C call    ebp ; GetPrivateProfileStringA
UPX0:0040282E mov   edx,
UPX0:00402832 push    offset aCWindowsSystem ; lpFileName
UPX0:00402837 lea   ecx,
UPX0:0040283E push    80h             ; nSize
UPX0:00402843 push    ecx             ; lpReturnedString
UPX0:00402844 push    offset Default; lpDefault
UPX0:00402849 push    offset aYs      ; "ys"
UPX0:0040284E push    edx             ; lpAppName
UPX0:0040284F call    ebp ; GetPrivateProfileStringA
UPX0:00402851 push    offset aCWindowsSystem ; lpFileName
UPX0:00402856 lea   eax,
UPX0:0040285D mov   ecx,
UPX0:00402861 push    80h             ; nSize
UPX0:00402866 push    eax             ; lpReturnedString
UPX0:00402867 push    offset Default; lpDefault
UPX0:0040286C push    offset aUrl   ; "url"
UPX0:00402871 push    ecx             ; lpAppName
UPX0:00402872 call    ebp ; GetPrivateProfileStringA

具有枚举窗体的功能:

名称的匹配:

根据条件,下载东西

对ie缓存处理,删除

最后删除下载的ini文件
最后删除下载的ini文件



Hacker丶绝筱伦 发表于 2014-4-22 22:23

膜拜玩病毒的人

瓜子吧3 发表于 2014-4-22 22:24

@willJ 大牛。。。

血染de枫彩 发表于 2014-4-22 22:38

对研究病毒不了解,路过支持

64733517 发表于 2014-4-22 22:49

膜拜大牛 不懂病毒

apxar 发表于 2014-4-22 23:02

瓜子吧3 发表于 2014-4-22 22:24
@willJ 大牛。。。

刚才网络异常,直接提交了, 现在补齐图片了

apxar 发表于 2014-4-22 23:03

刚才网络异常,直接提交了, 现在补齐图片了

apxar 发表于 2014-4-22 23:25

http://pan.baidu.com/s/1hq41O24 可以直接下载分析的文章

willJ 发表于 2014-4-24 09:41

很清晰的一篇报告,继续加油{:301_993:}

a371569963 发表于 2014-4-24 11:30

分析得很不错,学习了
页: [1] 2 3 4 5 6 7
查看完整版本: 一枚来自小伙伴的病毒


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52pojie.cn