SBQQ木马病毒分析
一.病毒:名称: SBQQ.Exe
病毒大小:66.6kb
病毒类型: 木马
受影响系统: Win9x / WinNT二.病毒简介该病毒通过安装钩子过程来获取qq的账号并通过网站提交的方式发送出去三.技术特点:1创建_xr.bat这个文件:完成删除自己的功能;2创建并加载C:“C:“Program Files“Sysinfo.wmp这个dll文件3添加注册表C:“Program Files“SysInfo.wmpC:“Program Files“SysInfo.wmp,注册ID为
3.删除注册表HKEY_CLASSES_ROOT“CLSID““InProcServer32项4.删除VerCLSID.bak这个文件五.分析过程这是一个木马生成器生成的一个木马病毒程序,没有加壳,查看调用api都是一般木马病毒程序所调用的
关键api有 CreateFileA,ReadFile,DeleteFileA,GetFileType,GetKeyboardType,GetProcAddress,LoadLibraryA
MoveFileExA,RegCreateKeyExA,ShellExecuteA,VirtualAlloc
不多说直接下CreateFile等相关api断点来到这里:
004028D8 . 6A 00 push 0 ; /hTemplateFile = NULL
004028DA . 68 80000000 push 80 ; Attributes = NORMAL
004028DF . 51 push ecx ; Mode
004028E0 . 6A 00 push 0 ; pSecurity = NULL
004028E2 . 52 push edx ; ShareMode
004028E3 . 50 push eax ; Access
004028E4 . 8D46 48 lea eax,dword ptr ds: ;
004028E7 . 50 push eax ; FileName
004028E8 . E8 1BE7FFFF call jmp.kernel32.CreateFileA ; “CreateFileA创建_xr.bat这个文件:00404B0A . E8 39EFFFFF call SBQQ.00403A48
00404B0F . E8 14E2FFFF call SBQQ.00402D28
00404B14 . E8 63DAFFFF call SBQQ.0040257C
00404B19 . 68 204C4000 push SBQQ.00404C20 ; ASCII if exist
00404B1E . 8D95 18FEFFFF lea edx,dword ptr ss:
00404B24 . 33C0 xor eax,eax
00404B26 . E8 ADDBFFFF call SBQQ.004026D8
00404B2B . FFB5 18FEFFFF push dword ptr ss:
00404B31 . 68 144C4000 push SBQQ.00404C14
00404B36 . 68 344C4000 push SBQQ.00404C34 ; ASCII goto try
00404B3B . 8D85 1CFEFFFF lea eax,dword ptr ss:
00404B41 . BA 04000000 mov edx,4
00404B46 . E8 C1ECFFFF call SBQQ.0040380C
00404B4B . 8B95 1CFEFFFF mov edx,dword ptr ss:
00404B51 . 8D85 30FEFFFF lea eax,dword ptr ss:
00404B57 . E8 ECEEFFFF call SBQQ.00403A48
00404B5C . E8 C7E1FFFF call SBQQ.00402D28
00404B61 . E8 16DAFFFF call SBQQ.0040257C
00404B66 . BA 484C4000 mov edx,SBQQ.00404C48&nb
最近有点忙,就发个小的,谢谢大家支持!!!
你可以用插入代码,这样效果更好。 抢个沙发呗{:301_978:} 表示可以先交火眼。 样本呢?? 每一篇都认真看 谢谢 没有附样本么。。 表示木有看太懂,还有就是求样本{:1_937:} 看看学习下。楼主样本呢? 认真看 谢谢
页:
[1]
2