入门级病毒分析之qq.exe病毒 by pencil[LSG]
本帖最后由 是昔流芳 于 2011-2-11 12:10 编辑病毒样本来源:http://www.52pojie.cn/thread-62671-1-2.html感谢是昔流芳提供大量最近的病毒样本。
挺长时间没做实际分析了,今天看了下这个毒,只分析了exe,很简单,适合新手做练习。dll300多k,都是ring3上的东西所以没继续分析。
exe主体很简单,想入门的朋友可以看一下,门里的鸟就散开了。
qq.exe:
1,创建"PASS_NOD32_OK"事件,然后运行另一个自身的实例并退出,在新的实例中检测"PASS_NOD32_OK"事件,如果已经存在,则设置事件,然后继续运行,通过事件名可以猜测,是为了过NOD32。原理不清楚,知道的朋友请指点一下。
2,利用随机的uuid经过变换得出随机的文件名,并生成绝对路径"%Windir%\java\trustlib\%s.dll"。提取自身2134号资源,创建并写入"%Windir%\java\trustlib\%s.dll"。
3,把dll映射到当前进程地址空间,用xor 0x0AC进行解码后写回。
4,创建以dll文件名命名的互斥对象,把创建的dll加载进本进程,并获
取"_LOADLIBRARY_DUMMY"函数的地址。取出该函数第一个字节内容并-0x3363,保存到全局变量g_ProcAddr中。
5,执行"rundll32 shell32,Control_RunDLL "%创建的dll路径%""
6,调用g_ProcAddr + 0x18处的函数地址(在dll中),在临时文件夹下生成del%d.tmp.bat,内容为:
@echo off
:self
attrib -a -r -s -h "C:\Documents and Settings\Administrator\桌面\qq.exe"
del "C:\Documents and Settings\Administrator\桌面\qq.exe"
if exist "C:\Documents and Settings\Administrator\桌面\qq.exe" goto self
del %0
删除病毒体
IDB中我做了详细的注释,也是因为新手朋友能看懂。 dll脱壳了,看完了exe,可以继续拿dll深入一下了。
最后提示:老鸟勿看。
这个一般入点门的都会不屑~发不发出来我想了一下,感觉52pojie的氛围跟pediy还是很不一样,这里有 ...
pencil 发表于 2010-9-20 15:26 http://www.52pojie.cn/images/common/back.gif
如果不屑只能说明做人有问题,可能他自己都没有分享过,所以更没有评判别人的资格,吾爱欢迎所有技术共享,不管难以程度,只要分享就支持! 还是太深奥了这点程度要什么基础才可以看的懂啊?大学?
hl532 发表于 2010-9-25 23:42 http://www.52pojie.cn/images/common/back.gif
跟学历没关系汇编,c/c++,pe结构,了解操作系统。这几个算是基础,或者说是基本的知识。 似曾相识,所有行为都一样,只是我昨天看了一个是天龙八部的盗号木马,这个是诛仙的,分析的不错!
pencil可以把之前那个霏凡UE的盗号木马分析文章贴吾爱破解来,那篇也很不错! 本帖最后由 pencil 于 2010-9-20 15:28 编辑
似曾相识,所有行为都一样,只是我昨天看了一个是天龙八部的盗号木马,这个是诛仙的,分析的不错!
pencil可以把 ...
Hmily 发表于 2010-9-20 14:51 http://www.52pojie.cn/images/common/back.gif
这个一般入点门的都会不屑~发不发出来我想了一下,感觉52pojie的氛围跟pediy还是很不一样,这里有更多人对技术上感兴趣,觉得这么一个入门的东西对一部分还是有用的,所以发出来了。呵呵。 学习了 谢谢楼主啊 如果不屑只能说明做人有问题,可能他自己都没有分享过,所以更没有评判别人的资格,吾爱欢迎所有技术共享 ...
Hmily 发表于 2010-9-20 17:10 http://www.52pojie.cn/images/common/back.gif
恩,说得对。 厉害,都是技术能人!吾爱有你更精彩… 高手啊。。 还是太深奥了这点程度要什么基础才可以看的懂啊?大学?