凝逸反毒-病毒分析(net1.exe 无法修复的所谓磁碟机II)Trojan-Downloader.Win32.Banload.yin
从卡饭论坛下到 磁碟机II net1.exe, 运行试了下,这个net1.exe与net.exe感染方式不同了,原来net.exe感染,凝逸反毒可以修复的!
net1.exe是将文件前10240字节删除,用10240字节的病毒替换,再文件后加上加4个字节 尾为 "ygr" 79 67 72 00
感染后文件图标变成白色,运行后,病毒后台运行,原文件无法在运行了,病毒在后台继续感染没有"ygr"标记的文件!
不好玩,又是技术简单的替换式感染!
样本在这
9:54 2008-11-27 凝逸
凝逸实验室.凝逸反毒
主页 http://hi.baidu.com/503165656
http://blog.sina.com.cn/nyav1
http://vvvv9988.w3.idc66.com/
http://medlem.spray.se/ny01/
http://eyuanma.ddisp.net
注册 http://nyav.uu1001.com/
客服QQ: 503165656
反病毒QQ群: 31168828
MSN: q503165656@hotmail.com
MSN群: mgroup21599@hotmail.com
(创建于:2007-01)
============
=============
=====感染后的文件===PE格式分析==========
文件头分析【PE Headers】
文件格式 :unknown signature, probably MS-DOS
DOS_HEADER 文件头长度 :256
文件运行所要求的CPU :Intel 80386 处理器或更高
节数目 :3
文件创建的时间 :2008年11月26日5时2分18秒
OptionalHeader 结构大小 :E0
文件信息的标记 :10F
标志字 :10B
连接器版本号 :6.0
代码段长度 :2000
已初始化数据块大小 :1000
未初始化数据块大小 :7000
★程序入口 [EntryCodeData]:00009CB0
代码段起始 [BaseOfCode]:00008000
数据库段起始 [BaseOfData]:0000A000
★优先装载地址 [ImageBase]:00400000
内存中节对齐粒度 :1000
文件中节对齐粒度 :200
系统所需版本号 :4.0
自定义版本号 :0.0
子系统所需版本号 :4.0
内存中PE映像体的尺寸 :B000
所有头+节表的大小 :1000
校验和 :0
文件系统 :IMAGE_SUBSYSTEM_WINDOWS_GUI
DLL特性 :0
保留栈的大小 :100000
初始时指定栈大小 :1000
保留堆的大小 :100000
指定堆大小 :1000
加载器标志 :0
Rva数和大小 :10
分析节表【Section Table】
序号 名称 代码地址 代码长度 文件偏移 文件长度 内存属性
1 UPX0 00001000 00007000 00000400 00000000 E0000080
2 UPX1 00008000 00002000 00000400 00002000 E0000040
3 .rsrc 0000A000 00001000 00002400 00000400 C0000040
============================
=====原文件===PE格式分析==========
文件头分析【PE Headers】
文件格式 :unknown signature, probably MS-DOS
DOS_HEADER 文件头长度 :224
文件运行所要求的CPU :Intel 80386 处理器或更高
节数目 :5
文件创建的时间 :2000年5月19日10时11分55秒
OptionalHeader 结构大小 :E0
文件信息的标记 :10F
标志字 :10B
连接器版本号 :4.0
代码段长度 :5000
已初始化数据块大小 :5000
未初始化数据块大小 :0
★程序入口 [EntryCodeData]:00003831
代码段起始 [BaseOfCode]:00001000
数据库段起始 [BaseOfData]:00006000
★优先装载地址 [ImageBase]:00400000
内存中节对齐粒度 :1000
文件中节对齐粒度 :1000
系统所需版本号 :4.0
自定义版本号 :1.0
子系统所需版本号 :4.0
内存中PE映像体的尺寸 :B000
所有头+节表的大小 :1000
校验和 :0
文件系统 :IMAGE_SUBSYSTEM_WINDOWS_GUI
DLL特性 :0
保留栈的大小 :100000
初始时指定栈大小 :1000
保留堆的大小 :100000
指定堆大小 :1000
加载器标志 :0
Rva数和大小 :10
分析节表【Section Table】
序号 名称 代码地址 代码长度 文件偏移 文件长度 内存属性
1 .text 00001000 00004D9C 00001000 00005000 60000020
2 .rdata 00006000 00000A4A 00006000 00001000 40000040
3 .data 00007000 00001F58 00007000 00002000 C0000040
4 .ecode 00009000 00001000 00009000 00001000 E0000040
5 .rsrc 0000A000 00000BA8 0000A000 00001000 40000040
================= |