吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 24300|回复: 5
收起左侧

[PC样本分析] http://www.wan886.com和http://www.bo9bo.com篡改主页样本加手工修复方案!

[复制链接]
Hmily 发表于 2009-10-9 14:34
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
木马躲藏地址:

C:\WINDOWS\system32\GDIs.exe
C:\WINDOWS\system32\ac97.sys
这2个一样的
C:\WINDOWS\system32\GDI.dll
C:\WINDOWS\system32\Mouset.sys
这2个一样的


0012FC98   00D92528  |ExistingName = "C:\WINDOWS\system32\GDIs.exe"
0012FC9C   00D93BA4  |NewName = "C:\Documents and Settings\Administrator\「开始」菜单\程序\启动\GDIs.exe"

GDIs.exe添加启动项运行后还自动删除,作用就是再把GDI.dll注入到explorer.exe

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager
PendingFileRenameOperations


很多用户被修改主页但是杀不掉,主要就是它躲在这里,通过开机将自身复制到启动目录,启动后又自动删除,所以找不到原程序,手工查杀可以用XueTr卸载掉GDI.dll,再把这里的注册键值清理掉,桌面的两个快捷方式直接把只读权限去掉删除就可以了,也可以使用360顽固木马专杀大全进行清除.


GDI.dll内的关键字符串

Ultra String Reference
Address    Disassembly                               Text String
008C889D   mov edx,GDI.008C89F8                      Software\Microsoft\Windows\CurrentVersion
008C88F0   mov edx,GDI.008C8A44                      \
008C890F   mov edx,GDI.008C8A44                      \
008C891F   mov ecx,GDI.008C8A50                      Internet Explorer\IEXPLORE.EXE
008C8950   mov esi,GDI.008C8B78                      查找并显示 Internet 上的信息和网站。
008C8990   mov ecx,GDI.008C8C80                      Internet Explorer.lnk
008C8F89   mov ecx,GDI.008C8FC0                      \Microsoft\Internet Explorer\Quick Launch
008C9070   mov edx,GDI.008C9114                      Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
008C90D6   mov edx,GDI.008C9170                      \
008C9222   mov edx,GDI.008C9450                      \
008C9245   mov ecx,GDI.008C9450                      \
008C928B   mov ecx,GDI.008C945C                      *
008C92C8   mov edx,GDI.008C9468                      .
008C92DE   mov edx,GDI.008C9474                      ..
008C9344   mov eax,GDI.008C9480                      腾讯TT
008C93BD   mov eax,GDI.008C9490                      iexplore
008C99EE   mov edx,GDI.008C9B54                      \
008C9A20   push GDI.008C9B60                         .url
008C9A56   mov edx,GDI.008C9B70                      [InternetShortcut]
008C9A79   mov edx,GDI.008C9B8C                      URL=
008C9AA7   mov edx,GDI.008C9B9C                      IconFile=
008C9CE0   mov ecx,GDI.008C9D90                      \Microsoft\Internet Explorer\Quick Launch
008C9DE0   push GDI.008C9E7C                         ico1
008C9DFC   mov ecx,GDI.008C9E8C                      \ico1.ico
008C9E16   push GDI.008C9E98                         ico2
008C9E32   mov ecx,GDI.008C9EA8                      \ico2.ico
008C9F25   mov edx,GDI.008CA100                      Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders
008C9F8B   mov edx,GDI.008CA15C                      \
008C9FE6   mov edx,GDI.008CA15C                      \
008CA003   push GDI.008CA17C                         .url
008CA02F   mov edx,GDI.008CA198                      InternetShortcut
008CA03F   mov ecx,GDI.008CA1B4                      IconFile
008CA044   mov edx,GDI.008CA198                      InternetShortcut
008CA050   push GDI.008CA1C8                         0
008CA055   mov ecx,GDI.008CA1D4                      IconIndex
008CA05A   mov edx,GDI.008CA198                      InternetShortcut
008CA092   mov eax,GDI.008CA1E8                      error
008CA20D   push GDI.008CA234                         1
008CA212   mov ecx,GDI.008CA240                      {871C5380-42A0-1069-A2EA-08002B30309D}
008CA217   mov edx,GDI.008CA270                      Software\Microsoft\Windows\CurrentVersion\Explorer\HideDesktopIcons\NewStartPanel
008CA311   mov edx,GDI.008CA5C8                      chrome.exe
008CA31D   mov edx,GDI.008CA5DC                      360SE.exe
008CA335   mov edx,GDI.008CA604                      TT
008CA341   mov edx,GDI.008CA610                      IEXPLORE.EXE
008CA380   mov ecx,GDI.008CA628                      \GDIs.exe
008CA3B0   mov ecx,GDI.008CA63C                      \ico1.ico
008CA3C2   mov edx,GDI.008CA650                      http://www.wan886.com
008CA3D7   mov ecx,GDI.008CA68C                      \ico2.ico
008CA3E9   mov edx,GDI.008CA6A0                      http://www.bo9bo.com
008CA3FE   mov ecx,GDI.008CA63C                      \ico1.ico
008CA410   mov edx,GDI.008CA650                      http://www.wan886.com
008CA415   mov eax,GDI.008CA6DC                      Wan886网址导航
008CA425   mov ecx,GDI.008CA68C                      \ico2.ico
008CA437   mov edx,GDI.008CA6A0                      http://www.bo9bo.com
008CA43C   mov eax,GDI.008CA6F4                      Bo9bo高清电影
008CA458   mov ecx,GDI.008CA628                      \GDIs.exe
008CA47F   mov ecx,GDI.008CA628                      \GDIs.exe
008CA49D   mov ecx,GDI.008CA70C                      \ac97.sys
008CA4C2   mov ecx,GDI.008CA720                      \GDI.dll
008CA50E   mov ecx,GDI.008CA628                      \GDIs.exe
008CA52B   mov ecx,GDI.008CA650                      http://www.wan886.com



样本解压密码:52pojie

GDIs.7z

271.88 KB, 下载次数: 445, 下载积分: 吾爱币 -1 CB

免费评分

参与人数 1威望 +1 收起 理由
roxiel + 1 [吾爱破解]因大家更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

frozenrain 发表于 2009-10-9 16:08
现在的马邪恶猥琐
3277488 发表于 2011-5-19 21:25
感谢楼主的提示啊!让我又学到一个技术啊。。。有时候还真碰到这样的情况啊。。还有一个事情我想问下版主。我有个用户:22354092  这个帐号被盗了。怎么办?邮箱也被修改了。。?希望楼主回复!谢谢
tianyasiqing 发表于 2011-9-15 09:35
niu184 发表于 2012-2-6 10:54
这个比较变态开机就用这个东西
约翰·克莱默 发表于 2013-1-19 19:05
这个需要学学 ...
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 14:43

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表