新型感染请高解密

evilrabbit

UE比较的结果你看下吧

taoyuan237

原帖由 328397663 于 2009-4-6 17:19 发表


这东东.是我打开LZ上传的样本释放的.

病毒分类	普通文件病毒	病毒名称	Trojan.Win32.Undef.bbj
别    名		病毒长度
依赖系统		传播途径
行为类型	WINDOWS下的PE病毒	感    染
病毒发作		瑞 星 版 本 号	20.25.61

木马一个应该是下载的并非感染源

taoyuan237

原帖由 328397663 于 2009-4-6 17:19 发表


这东东.是我打开LZ上传的样本释放的.

顺便说一句小红伞认为是蠕虫病毒

IllusionWing

其实手工修复简单，已成功

ximo

很简单的修复，仔细观察入口：

1. 00418800 >   60                   pushad
   
2. 00418801     E8 E6190000          call 感染-IEX.0041A1EC
   
3. 00418806     8B7424 20            mov esi,dword ptr ss:[esp+20]
   
4. 0041880A     E8 08000000          call 感染-IEX.00418817
   
5. 0041880F     61                   popad
   
6. 00418810     68 51244000          push 感染-IEX.00402451
   
7. 00418815     C3                   retn
   
8. 
   

复制代码

pushad
....

popad

这之间是添加的一些干坏事的代码，而
00418810     68 51244000          push 感染-IEX.00402451
00418815     C3                   retn

是通过
push xxxxxxxx
retn
的形式跳回到原来的入口的。

验证下CTRL+G，00402451,就可以发现很明显的入口特征。
因此，最简单的修复就是把入口点修改成2451，这个用程序已经相当好实现

凝逸反毒

原帖由 qianwenxiang 于 2009-4-6 17:02 发表
0x16C00~0x16C0F 数据改成0x90
0x16c16~末尾改成0x0看看

为什么这样改
试了 能成

凝逸反毒

原帖由 ximo 于 2009-4-6 17:51 发表
很简单的修复，仔细观察入口：00418800 >   60                   pushad
00418801     E8 E6190000          call 感染-IEX.0041A1EC
00418806     8B7424 20            mov esi,dword ptr ss:[esp+20]
0041880 ...

谢谢
学习

ximo

原帖由 凝逸反毒 于 2009-4-6 17:51 发表


为什么这样改
试了 能成

这样修改的理由就是：
感染后的入口点是418800,RVA就是18800，转化成偏移就是16C00.
从我上面的分析可以看出，那段干坏事的代码直接NOP掉，就可以正常的跳到原入口点了。
因此，只要NOP掉那段代码即可，就是把16C00开始处的代码改成0x90（NOP），长度为0xF
至于后面的修改为0，其实修不修改都可以。

凝逸反毒

慢慢消化
.....

尤金卡巴斯基

2009/4/6 18:12:00 已清除 病毒 Email-Worm.Win32.Runouce.b G:\Temp\Virus\感染-IEXPLORE.rar/感染-IEXPLORE.EXE