凝逸反毒-病毒分析(net1.exe无法修复的所谓磁碟机II)

凝逸反毒

凝逸反毒-病毒分析(net1.exe 无法修复的所谓磁碟机II)Trojan-Downloader.Win32.Banload.yin

    从卡饭论坛下到 磁碟机II net1.exe, 运行试了下,这个net1.exe与net.exe感染方式不同了,原来net.exe感染,凝逸反毒可以修复的!
    net1.exe是将文件前10240字节删除,用10240字节的病毒替换,再文件后加上加4个字节 尾为 "ygr" 79 67 72 00
    感染后文件图标变成白色,运行后,病毒后台运行,原文件无法在运行了,病毒在后台继续感染没有"ygr"标记的文件!
   不好玩,又是技术简单的替换式感染!

样本在这





                               9:54 2008-11-27  凝逸

凝逸实验室.凝逸反毒
主页 http://hi.baidu.com/503165656
     http://blog.sina.com.cn/nyav1
     http://vvvv9988.w3.idc66.com/
     http://medlem.spray.se/ny01/
     http://eyuanma.ddisp.net
注册 http://nyav.uu1001.com/
    客服QQ: 503165656
反病毒QQ群: 31168828
       MSN: q503165656@hotmail.com
     MSN群: mgroup21599@hotmail.com
(创建于:2007-01)
============


=============
=====感染后的文件===PE格式分析==========
文件头分析【PE Headers】
      文件格式                 ：unknown signature, probably MS-DOS
      DOS_HEADER 文件头长度    ：256
      文件运行所要求的CPU      ：Intel 80386 处理器或更高
      节数目                   ：3
      文件创建的时间           ：2008年11月26日5时2分18秒
      OptionalHeader 结构大小  ：E0
      文件信息的标记           ：10F
      标志字                   ：10B
      连接器版本号             ：6.0
      代码段长度               ：2000
      已初始化数据块大小       ：1000
      未初始化数据块大小       ：7000
    ★程序入口  [EntryCodeData]：00009CB0
      代码段起始   [BaseOfCode]：00008000
      数据库段起始 [BaseOfData]：0000A000
    ★优先装载地址  [ImageBase]：00400000
      内存中节对齐粒度         ：1000
      文件中节对齐粒度         ：200
      系统所需版本号           ：4.0
      自定义版本号             ：0.0
      子系统所需版本号         ：4.0
      内存中PE映像体的尺寸     ：B000
      所有头+节表的大小        ：1000
      校验和                   ：0
      文件系统                 ：IMAGE_SUBSYSTEM_WINDOWS_GUI
      DLL特性                  ：0
      保留栈的大小             ：100000
      初始时指定栈大小         ：1000
      保留堆的大小             ：100000
      指定堆大小               ：1000
      加载器标志               ：0
      Rva数和大小              ：10
分析节表【Section Table】
序号   名称  代码地址  代码长度  文件偏移  文件长度  内存属性
  1     UPX0  00001000  00007000  00000400  00000000  E0000080
  2     UPX1  00008000  00002000  00000400  00002000  E0000040
  3    .rsrc  0000A000  00001000  00002400  00000400  C0000040
============================

=====原文件===PE格式分析==========
文件头分析【PE Headers】
      文件格式                 ：unknown signature, probably MS-DOS
      DOS_HEADER 文件头长度    ：224
      文件运行所要求的CPU      ：Intel 80386 处理器或更高
      节数目                   ：5
      文件创建的时间           ：2000年5月19日10时11分55秒
      OptionalHeader 结构大小  ：E0
      文件信息的标记           ：10F
      标志字                   ：10B
      连接器版本号             ：4.0
      代码段长度               ：5000
      已初始化数据块大小       ：5000
      未初始化数据块大小       ：0
    ★程序入口  [EntryCodeData]：00003831
      代码段起始   [BaseOfCode]：00001000
      数据库段起始 [BaseOfData]：00006000
    ★优先装载地址  [ImageBase]：00400000
      内存中节对齐粒度         ：1000
      文件中节对齐粒度         ：1000
      系统所需版本号           ：4.0
      自定义版本号             ：1.0
      子系统所需版本号         ：4.0
      内存中PE映像体的尺寸     ：B000
      所有头+节表的大小        ：1000
      校验和                   ：0
      文件系统                 ：IMAGE_SUBSYSTEM_WINDOWS_GUI
      DLL特性                  ：0
      保留栈的大小             ：100000
      初始时指定栈大小         ：1000
      保留堆的大小             ：100000
      指定堆大小               ：1000
      加载器标志               ：0
      Rva数和大小              ：10
分析节表【Section Table】
序号   名称  代码地址  代码长度  文件偏移  文件长度  内存属性
  1    .text  00001000  00004D9C  00001000  00005000  60000020
  2   .rdata  00006000  00000A4A  00006000  00001000  40000040
  3    .data  00007000  00001F58  00007000  00002000  C0000040
  4   .ecode  00009000  00001000  00009000  00001000  E0000040
  5    .rsrc  0000A000  00000BA8  0000A000  00001000  40000040
=================

zhengjing

楼主什么意思 没看懂
病毒文件分析？

自由

试一下这个，不知道有没有更新，跟那个是一伙的。

依班娜

TO KL

wcj20236

原帖由 自由 于 2008-11-27 13:00 发表
试一下这个，不知道有没有更新，跟那个是一伙的。

          微点无视。。。。。。

Sherry.ai

To KL

qigang

凝，沉默好久了。

总是边做广告边做分析。

凝逸反毒

原帖由 qigang 于 2008-11-27 21:47 发表
凝，沉默好久了。

总是边做广告边做分析。

在忙写第6版,  报去创新大奖赛
还有防 要写