[专杀与分析]凝逸反毒5.66.感染引擎-修复AVP.EXE病毒
凝逸反毒.感染引擎-修复AVP.EXE病毒
-更新-
增加:
专杀>>修复AVP病毒
凝逸反毒.感染引擎-修复AVP.EXE病毒
感染引擎:修复AVP.EXE病毒
引擎作者:凝逸
病毒名: w32.mumawow ,win32.downloader,AVP.EXE病毒,将死者
功能: 修复AVP.EXE感染的EXE,有一些感染坏了,就修复不了!
防御: 防御感染AVP.EXE(本软件不能关)
样本提供: 水晶公主,Mua祢 (谢谢)
=========
要解决了,在这 评个分 hoho
http://ds.360safe.com/?uid-574-action-viewspace-itemid-146
=========
简单分析:
感染AVP.EXE病毒,会在exe增加 1个节表".KAO",增加大小50多k
每次运行感染的exe 会下在http://fff.tesekl.info/avp.exe
写到c:\avp.exe,运行c:\avp.exe
为防在中AVP.EXE病毒,可开防御,防御感染AVP.EXE
avp病毒.exe
========PE格式分析==========
文件头分析【PE Headers】
文件格式 :unknown signature, probably MS-DOS
DOS_HEADER 文件头长度 :256
文件运行所要求的CPU :Intel 80386 处理器或更高
节数目 :3
文件创建的时间 :1992年6月19日22时22分17秒
OptionalHeader 结构大小 :E0
文件信息的标记 :FFFF818F
标志字 :10B
连接器版本号 :2.25
代码段长度 :6000
已初始化数据块大小 :1000
未初始化数据块大小 :C000
★程序入口 [EntryCodeData]:00012310
代码段起始 [BaseOfCode]:0000D000
数据库段起始 [BaseOfData]:00013000
★优先装载地址 [ImageBase]:13140000
内存中节对齐粒度 :1000
文件中节对齐粒度 :200
系统所需版本号 :4.0
自定义版本号 :0.0
子系统所需版本号 :4.0
内存中PE映像体的尺寸 :14000
所有头+节表的大小 :1000
校验和 :0
文件系统 :IMAGE_SUBSYSTEM_WINDOWS_GUI
DLL特性 :0
保留栈的大小 :100000
初始时指定栈大小 :4000
保留堆的大小 :100000
指定堆大小 :1000
加载器标志 :0
Rva数和大小 :10
分析节表【Section Table】
序号 名称 代码地址 代码长度 文件偏移 文件长度 内存属性
1 UPX0 00001000 0000C000 00000400 00000000 E0000080
2 UPX1 0000D000 00006000 00000400 00005600 E0000040
3 .rsrc 00013000 00001000 00005A00 00000400 C0000040
分析导入表【Import Table】 Image Thunk raw + ★ rva + Import by Name||Hint
动态链接库 :KERNEL32.DLL
地址 : 00005C44 00013244==> LoadLibraryA
地址 : 00005C4C 00013248==> GetProcAddress
地址 : 00005C54 0001324C==> VirtualProtect
地址 : 00005C5C 00013250==> ExitProcess
--------------------------------------------------------------
[感染AVP.EXE病毒]VikingKiller.exe
========PE格式分析==========
文件头分析【PE Headers】
文件格式 :unknown signature, probably MS-DOS
DOS_HEADER 文件头长度 :232
文件运行所要求的CPU :Intel 80386 处理器或更高
节数目 :4
文件创建的时间 :2007年4月4日6时38分3秒
OptionalHeader 结构大小 :E0
文件信息的标记 :10F
标志字 :10B
连接器版本号 :6.0
代码段长度 :1F000
已初始化数据块大小 :2000
未初始化数据块大小 :24000
★程序入口 [EntryCodeData]:000460B7
代码段起始 [BaseOfCode]:00025000
数据库段起始 [BaseOfData]:00044000
★优先装载地址 [ImageBase]:00400000
内存中节对齐粒度 :1000
文件中节对齐粒度 :200
系统所需版本号 :4.0
自定义版本号 :0.0
子系统所需版本号 :4.0
内存中PE映像体的尺寸 :4623B
所有头+节表的大小 :1000
校验和 :291BC
文件系统 :IMAGE_SUBSYSTEM_WINDOWS_GUI
DLL特性 :0
保留栈的大小 :100000
初始时指定栈大小 :1000
保留堆的大小 :100000
指定堆大小 :1000
加载器标志 :0
Rva数和大小 :10
分析节表【Section Table】
序号 名称 代码地址 代码长度 文件偏移 文件长度 内存属性
1 UPX0 00001000 00024000 00000400 00000000 E0000080
2 UPX1 00025000 0001F000 00000400 0001E400 E0000040
3 .rsrc 00044000 00002000 0001E800 00001600 C0000040
4 .KAO 00046000 0000023B 0001FE00 0000023B E00000E0
分析导入表【Import Table】 Image Thunk raw + ★ rva + Import by Name||Hint
动态链接库 :KERNEL32.DLL
地址 : 0001FB94 00045394==> LoadLibraryA
地址 : 0001FB9C 00045398==> GetProcAddress
地址 : 0001FBA4 0004539C==> VirtualProtect
地址 : 0001FBAC 000453A0==> ExitProcess
----------------------------------------------------- |
发表于 2008-4-6 08:27:14
