入门级病毒分析之qq.exe病毒 by pencil[LSG]

pencil

病毒样本来源：http://www.52pojie.cn/thread-62671-1-2.html感谢是昔流芳提供大量最近的病毒样本。
挺长时间没做实际分析了，今天看了下这个毒，只分析了exe，很简单，适合新手做练习。dll300多k，都是ring3上的东西所以没继续分析。
exe主体很简单，想入门的朋友可以看一下，门里的鸟就散开了。


qq.exe:
1，创建"PASS_NOD32_OK"事件，然后运行另一个自身的实例并退出，在新的实例中检测"PASS_NOD32_OK"事件，如果已经存在，则设置事件，然后继续运行，通过事件名可以猜测，是为了过NOD32。原理不清楚，知道的朋友请指点一下。

2，利用随机的uuid经过变换得出随机的文件名，并生成绝对路径"%Windir%\java\trustlib\%s.dll"。提取自身2134号资源，创建并写入"%Windir%\java\trustlib\%s.dll"。

3，把dll映射到当前进程地址空间，用xor 0x0AC进行解码后写回。

4，创建以dll文件名命名的互斥对象，把创建的dll加载进本进程，并获

取"_LOADLIBRARY_DUMMY"函数的地址。取出该函数第一个字节内容并-0x3363，保存到全局变量g_ProcAddr中。

5,执行"rundll32 shell32,Control_RunDLL "%创建的dll路径%""

6,调用g_ProcAddr + 0x18处的函数地址(在dll中)，在临时文件夹下生成del%d.tmp.bat,内容为：
@echo off
:self
attrib -a -r -s -h "C:\Documents and Settings\Administrator\桌面\qq.exe"
del "C:\Documents and Settings\Administrator\桌面\qq.exe"
if exist "C:\Documents and Settings\Administrator\桌面\qq.exe" goto self
del %0
删除病毒体


IDB中我做了详细的注释，也是因为新手朋友能看懂。 dll脱壳了，看完了exe，可以继续拿dll深入一下了。

最后提示：老鸟勿看。

idb及脱壳的dll.rar (168.12 KB, 下载次数: 722)

2010-9-20 14:34 上传

点击文件名下载附件

Hmily

这个一般入点门的都会不屑~发不发出来我想了一下，感觉52pojie的氛围跟pediy还是很不一样，这里有 ...
pencil 发表于 2010-9-20 15:26

如果不屑只能说明做人有问题,可能他自己都没有分享过,所以更没有评判别人的资格,吾爱欢迎所有技术共享,不管难以程度,只要分享就支持!

pencil

还是太深奥了  这点程度要什么基础才可以看的懂啊？大学？
hl532 发表于 2010-9-25 23:42

跟学历没关系汇编，c/c++，pe结构，了解操作系统。这几个算是基础，或者说是基本的知识。

Hmily

似曾相识,所有行为都一样,只是我昨天看了一个是天龙八部的盗号木马,这个是诛仙的,分析的不错!
pencil可以把之前那个霏凡UE的盗号木马分析文章贴吾爱破解来,那篇也很不错!

pencil

似曾相识,所有行为都一样,只是我昨天看了一个是天龙八部的盗号木马,这个是诛仙的,分析的不错!
pencil可以把 ...
Hmily 发表于 2010-9-20 14:51

   这个一般入点门的都会不屑~发不发出来我想了一下，感觉52pojie的氛围跟pediy还是很不一样，这里有更多人对技术上感兴趣，觉得这么一个入门的东西对一部分还是有用的，所以发出来了。呵呵。

coolfire1983

学习了 谢谢楼主啊

pencil

如果不屑只能说明做人有问题,可能他自己都没有分享过,所以更没有评判别人的资格,吾爱欢迎所有技术共享 ...
Hmily 发表于 2010-9-20 17:10

   恩，说得对。

czjh2008

厉害，都是技术能人！吾爱有你更精彩…

小糊涂虫

高手啊。。

hl532

还是太深奥了  这点程度要什么基础才可以看的懂啊？大学？