吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 17408|回复: 50
收起左侧

[PC样本分析] 某2009年xp病毒的简单分析

  [复制链接]
52lxw 发表于 2018-11-13 11:46
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
样本.rar (178.14 KB, 下载次数: 38)
前辈已经分析过了:https://www.52pojie.cn/thread-624323-1-1.html,我跟着他的思路调试了一遍
先用exepeinfo看一下什么语言写的,什么壳
{R0G9)ZOL%G$`~OQX`@RLOL.png

发现没加壳,delphi写的,拖入IDA找到TForm1Create函数

_7LUZSTDAP{GS2MB673J$K0.png
开始判断自己是不是javasc.exe文件,是的话就复制自己为sdafdf.exe并执行sdafdf.exe,然后自己退出

CH$}0QPPAJ2{_5)0]T(CD`Y.png
判断是否存在GHO文件夹,不存在就创建一个

V2B]HKMOW3~B33~MBZ3@K0H.png
判断是否存在avb.exe文件,不存在就复制自己为javasc.exe,并且设置为服务,复制为avb.exe并且设置注册表Runonce键为自启动,然后主程序退出

XFHB4I]TSPTLP4S)W0HP]RR.png

判断程序是avb.exe,mscb.exe执行不同的动作
{@O6GAAR5OHKGX@3FL1U800.png

如果是avb.exe,就复制自己为mscb.exe,执行mscb.exe并且主程序退出
9WX])$N2RYZ`XWSHH1ZL{6T.png
最后恶意代码都是在timer1,2,3,4里面执行的,主程序主要是复制自己,设置服务和自启动

免费评分

参与人数 6吾爱币 +8 热心值 +6 收起 理由
Hmily + 4 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
mfsva97 + 1 + 1 我很赞同!
wjshan0808 + 1 + 1 热心回复! 咋知道是什么语言写的?
清风已去不再留 + 1 + 1 我很赞同!
shenlanhai + 1 + 1 热心回复!
西瓜小刚 + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

duier 发表于 2018-11-14 16:00
楼主这个解压密码是什么呢
为海尔而战 发表于 2018-11-13 13:01
cofeiya 发表于 2018-11-13 14:01
bgp 发表于 2018-11-13 14:22
赞赞赞,谢谢谢谢谢谢。
yoonching 发表于 2018-11-13 14:45
加油,谢谢提供思路。
Vistanbul 发表于 2018-11-13 14:49
什么时候才能像你们一样逆向病毒
stanlyjin 发表于 2018-11-13 15:03
膜拜楼主.
450046181 发表于 2018-11-13 15:25
楼主加油
酷酷的八戒 发表于 2018-11-13 15:32
思路不错,加油呀
shenlanhai 发表于 2018-11-13 16:28
谢谢楼主啊
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 11:37

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表