原帖由 syfwxmh 于 2009-1-28 16:17 发表
你看我回复就知道了,我没有装虚拟机和沙盘所以具体行为和代码我并没有分析。
那个压缩包一共存在两个工具一个是自动解压,另外一个是工具。
其中AVG,AVIRA,卡巴,费尔,铁壳、BD等报的是第一个,微点报的是 ...
我来帮你分析吧
第一个 所谓的net命令是这样的
貌似是取消共享的命令 并非什么修改防火墙配置的命令吧?
第二个 Explorer.exe
就这么一点代码
.text:00401000 sub esp, 60h
.text:00401003 mov eax, dword_406030 ; SvaR
.text:00401008 mov ecx, dword_406034 ; .new
.text:0040100E mov edx, dword_406038 ; exe
.text:00401014 push edi
.text:00401015 mov dword ptr [esp+64h+ApplicationName], eax
.text:00401019 mov [esp+64h+var_5C], ecx
.text:0040101D mov ecx, 11h
.text:00401022 xor eax, eax
.text:00401024 lea edi, [esp+64h+StartupInfo]
.text:00401028 mov [esp+64h+var_58], edx
.text:0040102C rep stosd
.text:0040102E mov [esp+64h+ProcessInformation.hProcess], eax
.text:00401032 lea ecx, [esp+64h+ProcessInformation]
.text:00401036 mov [esp+64h+ProcessInformation.hThread], eax
.text:0040103A lea edx, [esp+64h+StartupInfo]
.text:0040103E mov [esp+64h+ProcessInformation.dwProcessId], eax
.text:00401042 push ecx ; lpProcessInformation
.text:00401043 push edx ; lpStartupInfo
.text:00401044 push eax ; lpCurrentDirectory
.text:00401045 push eax ; lpEnvironment
.text:00401046 push eax ; dwCreationFlags
.text:00401047 push eax ; bInheritHandles
.text:00401048 push eax ; lpThreadAttributes
.text:00401049 push eax ; lpProcessAttributes
.text:0040104A mov [esp+84h+ProcessInformation.dwThreadId], eax
.text:0040104E push eax ; lpCommandLine
.text:0040104F lea eax, [esp+88h+ApplicationName]
.text:00401053 push eax ; lpApplicationName
.text:00401054 mov [esp+8Ch+StartupInfo.cb], 44h
.text:0040105C call ds:CreateProcessA
.text:00401062 xor eax, eax
.text:00401064 pop edi
.text:00401065 add esp, 60h
.text:00401068 retn
.text:00401068 _main endp
他就是负责创建一个进程 这个进程就是专杀的病毒名SvaRnew.exe
下面再无其他行为
.text:00401108 mov eax, envp
.text:0040110D mov dword_408508, eax
.text:00401112 push eax ; envp
.text:00401113 push argv ; argv
.text:00401119 push argc ; argc
.text:0040111F call _main
.text:00401124 add esp, 0Ch
.text:00401127 mov [ebp+var_1C], eax
.text:0040112A push eax ; Code
.text:0040112B call _exit
.text:0040112B start endp
.text:0040112B
这两个专杀为什么要这样写 我们还要追其这个病毒当时是如何破坏的 可能是为了防止专杀被病毒破坏等等搞的 但本身无恶意代码
证据够充足吧
哎 这回可能得麻烦 咱们伟大的“测评主管”去
“亲自”找卡巴“经理”说说这事了吧?!麻烦您了~~ |