感染EXE文件的病毒

qigang

不是病毒，嘿嘿，还这么大！

marksu2006

没什么

jehovah_king

sbie显示该病毒很强大

jehovah_king

我用一个小的exe诱导他去感染，得到一个小的样本，分析结果如下
1. General Information
  - Information about Anubis' invocation   

Time needed: 32 s  
Report created: 01/26/08, 16:31:19  
Termination reason: All tracked processes have exited  
Program version: 1.5  



2. sample.exe
  - General information about this executable   

Analysis Reason: Primary Analysis Subject  
Filename: sample.exe  
MD5: 7f6ec8575222ae781804eca4b27670f1  
SHA-1: f9b0f599132539af9c1dc59807d7ab4382dcea48  
File Size: 1486903 Bytes
Command Line: C:\sample.exe   
Process-status at analysis end: dead  
Exit Code: 0  


  - Load-time Dlls   

Module Name Base Address Size
C:\​WINDOWS\​system32\​ntdll.dll   0x7C900000  0x000B0000  
C:\​WINDOWS\​system32\​kernel32.dll   0x7C800000  0x000F5000  
C:\​WINDOWS\​system32\​USER32.dll   0x7E410000  0x00090000  
C:\​WINDOWS\​system32\​GDI32.dll   0x77F10000  0x00047000  
C:\​WINDOWS\​system32\​comdlg32.dll   0x763B0000  0x00049000  
C:\​WINDOWS\​system32\​SHLWAPI.dll   0x77F60000  0x00076000  
C:\​WINDOWS\​system32\​ADVAPI32.dll   0x77DD0000  0x0009B000  
C:\​WINDOWS\​system32\​RPCRT4.dll   0x77E70000  0x00092000  
C:\​WINDOWS\​system32\​Secur32.dll   0x77FE0000  0x00011000  
C:\​WINDOWS\​system32\​msvcrt.dll   0x77C10000  0x00058000  
C:\​WINDOWS\​system32\​COMCTL32.dll   0x5D090000  0x0009A000  
C:\​WINDOWS\​system32\​SHELL32.dll   0x7C9C0000  0x00815000  
C:\​WINDOWS\​system32\​WINSPOOL.DRV   0x73000000  0x00026000  
C:\​WINDOWS\​system32\​IMM32.DLL   0x76390000  0x0001D000  
C:\​WINDOWS\​WinSxS\​x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.2982_x-ww_ac3f9c03\​comctl32.dll   0x773D0000  0x00103000  


  - Run-time Dlls   

Module Name Base Address Size
C:\WINDOWS\system32\MSCTF.dll  0x74720000  0x0004B000  
C:\WINDOWS\system32\msctfime.ime  0x755C0000  0x0002E000  
C:\WINDOWS\system32\ole32.dll  0x774E0000  0x0013D000  
C:\WINDOWS\system32\version.dll  0x77C00000  0x00008000  



2.a) sample.exe - Registry Activities
  - Registry Values Read:   

Key Name Value Times
HKLM\​Software\​Microsoft\​CTF\​SystemShared   CUAS  0   1  
HKLM\​Software\​Microsoft\​Windows NT\​CurrentVersion\​IMM   Ime File  msctfime.ime   1  



2.b) sample.exe - File Activities
  - Files Deleted:   

C:\DOCUME~1\user\LOCALS~1\Temp\sample1.exe


  - Files Read:   

C:\DOCUME~1\user\LOCALS~1\Temp\sample1.exe



2.c) sample.exe - Other Activities
  - Mutexes Created:   

CTF.TimListCache.FMPDefaultS-​1-​5-​21-​1229272821-​1004336348-​527237240-​1003MUTEX.DefaultS-​1-​5-​21-​1229272821-​1004336348-​527237240-​1003
DBWinMutex


  - Windows SEH exceptions:   

Description Times
Exception 0x40010006 at 0x7c812a5b  6  

http://analysis.seclab.tuwien.ac ... c74414d0b23be554fd9



其主要行为是感染文件，分析结果看得不明显

zwl2828

00006028   00406028      0   http://blog.csdn.net/yxyhack/bind.exe


000CD428   0051B028      0   1.exe
000CD440   0051B040      0   LookupPrivilegeValue error:%d
000CD464   0051B064      0   SeDebugPrivilege
000CD478   0051B078      0   OpenProcessToken() failed. --err: %d
000CD4AC   0051B0AC      0   \temp2.exe
000CD4BC   0051B0BC      0   \temp1.exe
000CD4CC   0051B0CC      0   \temp0.exe
000CD4F0   0051B0F0      0   EndUpdateResource
000CD508   0051B108      0   UpdateResource
000CD51C   0051B11C      0   BeginUpdateResource
000CD534   0051B134      0   Could not lock Icon.
000CD550   0051B150      0   Could not load icon.
000CD56C   0051B16C      0   Could not locate icon resource.
000CD594   0051B194      0   Could not load icon exe.
000CD5B4   0051B1B4      0   Ganr Application
000CD5C8   0051B1C8      0   IDI_ICON2
000CD5D4   0051B1D4      0   GanrAppClass
000CD5E8   0051B1E8      0   afx.inl
000CD5F0   0051B1F0      0   afxcoll.inl
000CD5FC   0051B1FC      0   afxdlgs.inl
000CD608   0051B208      0   afxext.inl

000CE300   0051BF00      0   afxwin2.inl
000CF038   0051CC38      0   afxwin1.inl
000D00B0   0051DCB0      0   AFX.INI

000D092C   0051E52C      0   Recent File List
000D0DA8   0051E9A8      0   afxcmn.inl
000D2F2C   00520B2C      0   NullFile
000D2F38   00520B38      0   [printto("%1","%2","%3","%4")]
000D2F58   00520B58      0   [print("%1")]
000D2F68   00520B68      0   [open("%1")]
000D2F78   00520B78      0   ddeexec
000D2F80   00520B80      0    /dde
000D2F88   00520B88      0    /pt "%1" "%2" "%3" "%4"
000D2FA4   00520BA4      0    /p "%1"
000D2FB0   00520BB0      0    "%1"
000D2FB8   00520BB8      0   command
000D2FC4   00520BC4      0   %s\ShellNew
000D2FD0   00520BD0      0   %s\DefaultIcon
000D2FE0   00520BE0      0   %s\shell\printto\%s
000D2FF4   00520BF4      0   %s\shell\print\%s
000D3008   00520C08      0   %s\shell\open\%s
000D3140   00520D40      0   i386\chkesp.c

000DF190   0052E390      0   F:\9782\vc98\mfc\mfc\include\afxtls_.h

Ps.http://blog.csdn.net/yxyhack/bind.exe为yxyhack感染下载者

pchack