收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 病毒样本 分享&分析区 5.18日,排名第一的网马解密
12
返回列表 发新帖
楼主: dayang1717
 收起左侧

[病毒样本] 5.18日,排名第一的网马解密

[复制链接]
bdxuelang
发表于 2009-5-19 10:56:00 | 显示全部楼层
没细看,就跑了下行为。附件为CCC 脱壳后的文件

释放文件
C:\WINDOWS\system32\appwinproc.dll 4KB A
C:\WINDOWS\system32\Nskhelper2.sys 4KB A  
C:\WINDOWS\system32\NsPass0.sys 9KB A  
C:\WINDOWS\system32\NsPass1.sys 9KB A  
C:\WINDOWS\system32\NsPass2.sys 9KB A  
C:\WINDOWS\system32\NsPass3.sys 9KB A  
C:\WINDOWS\system32\NsPass4.sys 9KB A  
*:\kitkit.dll 42KB HS  
*:\xxxxxxx.inf 1KB HSA

注册表
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
添加了175项,主要为常用杀软以及安全工具

添加如下服务
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\
服务:\\NsPsDk04
服务:\\NsPsDk02
服务:\\NsPsDk01
服务:\\NsPsDk00
服务:\\NsDlRK250


有兴趣可以详细分析下

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
回复

举报

tangxingyong
头像被屏蔽
发表于 2009-5-19 11:23:21 | 显示全部楼层
卡巴
检测到:木马程序 Trojan-Downloader.Win32.Agent.bprr        URL: http://bbs.kafan.cn/attachment.p ... 13//ccc.exe//RLPack
回复

举报

繁华过后
发表于 2009-5-19 11:40:09 | 显示全部楼层
NSDownLoader木马下载器再现江湖,大家都要警惕啦。
回复

举报

JusT.Like
发表于 2009-5-19 12:14:30 | 显示全部楼层
Last infection: bbs.kafan.cn
Infected with: Packer.RLPack.D
回复

举报

Hmilypojie
头像被屏蔽
发表于 2009-5-19 13:59:30 | 显示全部楼层
这个是rlpack的压缩壳,没用保护版的壳,直接在OD里he 00401430   F9就到OEP了~

Ultra String Reference Fix
Address    Disassembly                               Text String
00401009   push ccc.004020F4                         IsDebuggerPresent
0040100E   push ccc.004020E4                         kernel32.dll
0040108B   push ccc.004020D8                         OllyDbg.exe
0040109B   push ccc.004020CC                         OllyICE.exe
004010AB   push ccc.004020C0                         PEditor.exe
004010BB   push ccc.004020B4                         LordPE.exe
004010CB   push ccc.004020A8                         C32Asm.exe
004010DB   push ccc.00402098                         ImportREC.exe
0040118A   push ccc.00402150                         %d.bat
004011F6   push ccc.00402110                         :Repeat\r\ndel /f "%s"\r\nIF
00401240   push ccc.00402108                         open
00401380   mov dword ptr ss:[esp+1C],ccc.0040217C    Schedule
00401388   mov dword ptr ss:[esp+20],ccc.00402174    AppMgmt
00401390   mov dword ptr ss:[esp+24],ccc.00402168    srservice
00401398   mov dword ptr ss:[esp+28],ccc.00402160    W32Time
004013A0   mov dword ptr ss:[esp+2C],ccc.00402158    stisvc
004013C4   mov ecx,ccc.0040217C                      Schedule
00401430   sub esp,168                               (Initial CPU selection)
0040147C   push ccc.004020E4                         kernel32.dll
004014D7   push ccc.0040218C                         dll%d.dll
004014FD   push ccc.00402188                         RES


反调试?
回复

举报

12
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-7-12 20:09 , Processed in 0.099981 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表