吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 15134|回复: 18
收起左侧

[转载] SBQQ木马病毒分析

[复制链接]
1888888 发表于 2016-7-29 12:43
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!

一.病毒:
名称: SBQQ.Exe
病毒大小:66.6kb
病毒类型: 木马
受影响系统: Win9x / WinNT
二.病毒简介
该病毒通过安装钩子过程来获取qq的账号并通过网站提交的方式发送出去
三.技术特点:
1创建_xr.bat这个文件:完成删除自己的功能;
2创建并加载C:“C:“Program Files“Sysinfo.wmp这个dll文件
3添加注册表C:“Program Files“SysInfo.wmpC:“Program Files“SysInfo.wmp,注册ID为
3.删除注册表HKEY_CLASSES_ROOT“CLSID““InProcServer32项
4.删除VerCLSID.bak这个文件
五.分析过程
这是一个木马生成器生成的一个木马病毒程序,没有加壳,查看调用api都是一般木马病毒程序所调用的
关键api有 CreateFileA,ReadFile,DeleteFileA,GetFileType,GetKeyboardType,GetProcAddress,LoadLibraryA
MoveFileExA,RegCreateKeyExA,ShellExecuteA,VirtualAlloc
不多说直接下CreateFile等相关api断点来到这里:
004028D8 . 6A 00 push 0 ; /hTemplateFile = NULL
004028DA . 68 80000000 push 80 ; Attributes = NORMAL
004028DF . 51 push ecx ; Mode
004028E0 . 6A 00 push 0 ; pSecurity = NULL
004028E2 . 52 push edx ; ShareMode
004028E3 . 50 push eax ; Access
004028E4 . 8D46 48 lea eax,dword ptr ds:[esi+48] ;
004028E7 . 50 push eax ; FileName
004028E8 . E8 1BE7FFFF call jmp.kernel32.CreateFileA ; “CreateFileA
创建_xr.bat这个文件:
00404B0A . E8 39EFFFFF call SBQQ.00403A48
00404B0F . E8 14E2FFFF call SBQQ.00402D28
00404B14 . E8 63DAFFFF call SBQQ.0040257C
00404B19 . 68 204C4000 push SBQQ.00404C20 ; ASCII if exist
00404B1E . 8D95 18FEFFFF lea edx,dword ptr ss:[ebp-1E8]
00404B24 . 33C0 xor eax,eax
00404B26 . E8 ADDBFFFF call SBQQ.004026D8
00404B2B . FFB5 18FEFFFF push dword ptr ss:[ebp-1E8]
00404B31 . 68 144C4000 push SBQQ.00404C14
00404B36 . 68 344C4000 push SBQQ.00404C34 ; ASCII goto try
00404B3B . 8D85 1CFEFFFF lea eax,dword ptr ss:[ebp-1E4]
00404B41 . BA 04000000 mov edx,4
00404B46 . E8 C1ECFFFF call SBQQ.0040380C
00404B4B . 8B95 1CFEFFFF mov edx,dword ptr ss:[ebp-1E4]
00404B51 . 8D85 30FEFFFF lea eax,dword ptr ss:[ebp-1D0]
00404B57 . E8 ECEEFFFF call SBQQ.00403A48
00404B5C . E8 C7E1FFFF call SBQQ.00402D28
00404B61 . E8 16DAFFFF call SBQQ.0040257C
00404B66 . BA 484C4000 mov edx,SBQQ.00404C48&nb


最近有点忙,就发个小的,谢谢大家支持!!!

点评

并且强烈建议把你的帖子标题改下,这样不好  发表于 2016-7-29 12:58
嗯,过程齐全。建议把下的什么相关API断点说出来更好。  发表于 2016-7-29 12:56

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

KaQqi 发表于 2016-7-29 12:56
你可以用插入代码,这样效果更好。
晨风大大 发表于 2016-7-29 12:56
Android_army 发表于 2016-7-29 12:57
still1414 发表于 2016-7-29 16:17
样本呢??
玛朵布莎辞 发表于 2016-8-2 20:59
每一篇都认真看 谢谢
A-zhu 发表于 2016-8-3 12:41
没有附样本么。。
Bubble_泡沫 发表于 2016-8-10 15:49
表示木有看太懂,还有就是求样本
dream. 发表于 2016-8-10 21:44 来自手机
看看学习下。楼主样本呢?
xiaohong 发表于 2016-8-17 08:48
认真看 谢谢
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 12:57

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表