楼主: 雨宫优子
收起左侧

[版主公告] 【论坛三周年样本区】样本分析大赛【阶段1完毕,阶段2正在进行】【新增活动奖励】

 关闭 [复制链接]
happyfisher
发表于 2009-5-28 10:50:03 | 显示全部楼层
看个热闹
花间酒
发表于 2009-5-28 12:48:12 | 显示全部楼层


分析环境:xpsp2


分析方式:Ollydbg








如果运行中的是第一个实例,
004012CA    56              push    esi
004012CB    FF15 28204000   call    dword ptr [402028]               ; kernel32.GlobalAddAtomA
004012D1    56              push    esi
004012D2    53              push    ebx
004012D3    53              push    ebx
004012D4    FF15 24204000   call    dword ptr [402024]               ; kernel32.CreateMutexA
004012DA    8D45 F0         lea     eax, dword ptr [ebp-10]
004012DD    50              push    eax
004012DE    FF15 0C204000   call    dword ptr [40200C]               ; kernel32.GetSystemTime
004012E4    BE 04010000     mov     esi, 104
004012E9    8D85 ECFEFFFF   lea     eax, dword ptr [ebp-114]
004012EF    56              push    esi
004012F0    50              push    eax
004012F1    FF15 1C374000   call    dword ptr [40371C]               ; kernel32.GetSystemDirectoryA
004012F7    8D85 ECFEFFFF   lea     eax, dword ptr [ebp-114]


创建互斥体,获取当前系统时间日子和系统SYSTEM32目录。。
一连同样的代码获取了几次,,做了个时间的判断
0040133D    66:817D F0 D707 cmp     word ptr [ebp-10], 7D7
00401343    0F86 42010000   jbe     0040148B
如果机子时间在07年前,就改变行为
跳了会有另一套动作,不过时间关系,,,


不跳就继续往下了

00401351    FF15 10374000   call    dword ptr [403710]               ; kernel32.GetWindowsDirectoryA

C:\Windows目录路径获取
cmd /c cacls C:\windows /e /p everyone:f 拼字游戏

容许对系统目录完全訪問

同样地,
00401383    8B1D 20204000   mov     ebx, dword ptr [402020]          ; kernel32.GetTempPathA
取得TEMP路径后实现完全访问权限


之后
cmd /c taskkill /im ekrn.exe /f
cmd /c taskkill /im egui.exe /f 结束ESET
cmd /c taskkill /im ScanFrm.exe /f 结束2009版瑞星的空闲时段查杀进程 (查的,不肯定)

截图很累,贴代码
00401483    FF15 1C204000   call    dword ptr [40201C]               ; kernel32.Sleep
00401489    33DB            xor     ebx, ebx
0040148B    8D85 ECFEFFFF   lea     eax, dword ptr [ebp-114]
00401491    56              push    esi
00401492    50              push    eax
00401493    FF15 10374000   call    dword ptr [403710]               ; kernel32.GetWindowsDirectoryA
00401499    8D85 ECFEFFFF   lea     eax, dword ptr [ebp-114]
0040149F    68 04364000     push    00403604                         ; ASCII "\system32\func.dll"
004014A4    50              push    eax
004014A5    E8 EA010000     call    00401694                         ; jmp 到 msvcrt.strcat
等待,连接字符串,



004014BF    50              push    eax
004014C0    57              push    edi
004014C1    68 95000000     push    95
004014C6    E8 7BFCFFFF     call    00401146

自定义的函数
函数做的
读取资源不贴
创建DLL
CreateFileA
0012F568   0012FEAC  |FileName = "C:\windows\system32\func.dll"
0012F56C   40000000  |Access = GENERIC_WRITE
0012F570   00000000  |ShareMode = 0
0012F574   00000000  |pSecurity = NULL
0012F578   00000002  |Mode = CREATE_ALWAYS
0012F57C   00000000  |Attributes = 0
0012F580   00000000  \hTemplateFile = NULL

执行rundll32.exe func.dll, droqp
功能代码还在库里

00401519    50              push    eax

0040151A    57              push    edi
0040151B    68 8F000000     push    8F
00401520    E8 21FCFFFF     call    00401146
呼叫同一个函数创建C:\Windows\phpi.dll

构造长文件名

C:\Ordownloads\xp.exe_o12aSkSLyZ
o7kM2pU3JNIyebXSaXwQ+5u9OVzZYT7DIkXdko_o12aSkSLyZo7UA3pNnKIIycaXQfmqg+yNVlMCzbJ6Car05hI
再次判断时间,如果在08年钱就加载刚才创建的C:\Windows\phpi.dll
获取当中导出的Scan函数
00401624    68 A8304000     push    004030A8                         ; ASCII "Scan"
00401629    57              push    edi
0040162A    FF15 00204000   call    dword ptr [402000]               ; kernel32.GetProcAddress

时间关系草草了
中间很多OutPutDebugString(果然未完工)
PHPI.dll的SCAN函数中,比较了当前运行路径是否C:\windows\explorer.exe


0012E694   0012F5C4  |s1 = "C:\Ordownloads\xp.exe"
0012E698   0012E8B4  \s2 = "C:\windows\explorer.exe"

创建C:\windows\system32\drivers\pcidump.sys,不是要穿影子吧
0012E50C   0012E584  |FileName = "C:\windows\system32\drivers\pcidump.sys"

0012E510   40000000  |Access = GENERIC_WRITE
0012E514   00000000  |ShareMode = 0
0012E518   00000000  |pSecurity = NULL
0012E51C   00000002  |Mode = CREATE_ALWAYS
0012E520   00000000  |Attributes = 0
0012E524   00000000  \hTemplateFile = NULL

释放资源
打开SCM

10001BAA    FF15 08040010   call    dword ptr [<&ADVAPI32.OpenSCMana>; advapi32.OpenSCManagerA
10001BF3    FF15 10040010   call    dword ptr [<&ADVAPI32.CreateServ>; advapi32.CreateServiceA

创建不成功的話就清理现场,删除项。。。
成功就启动服務10001CF9    FF15 0C040010   call    dword ptr [<&ADVAPI32.StartServi>; advapi32.StartServiceA
,,,
驱动偶是不会的,
,这家伙写了两个服務项,另一个PUID


创建线程,
1

找EXPLORER的类名?
[quote]10002281    68 7C080010     push    1000087C                         ; ASCII "#32770"
10002286    FF15 90050010   call    dword ptr [<&USER32.FindWindowA>>; user32.FindWindowA
有就ShowWindow
没就OutPutDebugStringA输出错误信息(估计,)
第二个线程
替换HOSTS
0012E640   0012E7B0  |FileName = "C:\windows\system32\drivers\etc\hosts"
重定向加屏蔽网站..
第三个
10002827    FF15 7C040010   call    dword ptr [<&KERNEL32.GetLogical>; kernel32.GetLogicalDriveStringsA
取盘符
CopyFileA 1.exe
循環写AUTORUN
10002965    68 B0080010     push    100008B0                         ; ASCII "autorun.inf"

autorun.inf内容
[autorun]
Open=1.exe
第四个线程里有有关样本版本,操作系统的资料
100038EE    C785 DCEFFFFF 6>mov     dword ptr [ebp-1024], 10000A60   ; ASCII "v10"
100038F8    FFB5 10EFFFFF   push    dword ptr [ebp-10F0]
100038FE    FFB5 DCEFFFFF   push    dword ptr [ebp-1024]
10003904    8D45 80         lea     eax, dword ptr [ebp-80]
10003907    50              push    eax
10003908    68 700A0010     push    10000A70                         ; ASCII "?mac=%s&ver=%s&key=%d&os=windows"
打开网路连接
第五个不清楚哦
10004A8A    C785 8CFDFFFF D>mov     dword ptr [ebp-274], 10000BD8    ; ASCII "infect_exe"
10004A94    8BBD 8CFDFFFF   mov     edi, dword ptr [ebp-274]
10004A9A    83C9 FF         or      ecx, FFFFFFFF
10004A9D    33C0            xor     eax, eax
10004A9F    F2:AE           repne   scas byte ptr es:[edi]
10004AA1    F7D1            not     ecx
10004AA3    49              dec     ecx
10004AA4    83F9 02         cmp     ecx, 2
10004AA7    76 15           jbe     short 10004ABE
10004AA9    6A 00           push    0
10004AAB    6A 00           push    0
10004AAD    6A 00           push    0
10004AAF    68 AB460010     push    100046AB
10004AB4    6A 00           push    0
10004AB6    6A 00           push    0
10004AB8    FF15 8C040010   call    dword ptr [<&KERNEL32.CreateThre>; kernel32.CreateThread感染型?
10004ABE    FF75 0C         push    dword ptr [ebp+C]
10004AC1    E8 C1E8FFFF     call    10003387
10004AC6    59              pop     ecx
10004AC7  ^ E9 FFFEFFFF     jmp     100049CB  感染失败重复执行以上的的代码?


干完了就来一个超长休息,退出,(其实就是不会退出,以上的线程是不断执行)。


00401676    68 005C2605     push    5265C00
0040167B    FF15 1C204000   call    dword ptr [40201C]               ; kernel32.Sleep
00401681    5F              pop     edi
00401682    5E              pop     esi
00401683    33C0            xor     eax, eax
00401685    5B              pop     ebx
00401686    C9              leave
00401687    C3              retn

预防方式:

1)杀软
2)禁止未知程序对RUNDLL32,SC,CMD的调用
3)禁止未知程序写windows目录,修改HOSTS,加载驱动




[ 本帖最后由 lunglungyu 于 2009-5-28 14:53 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +30 收起 理由
aarwwefdds + 30 感谢参与活动!

查看全部评分

newcenturysun
发表于 2009-5-28 12:55:28 | 显示全部楼层
原帖由 lunglungyu 于 2009-5-28 12:48 发表
旨在参与,編輯中
546245
546246
546247
546248
546249

如果运行中的是第一个实例,

004012CA    56              push    esi
004012CB    FF15 28204000   call    dword ptr [402028]                ...


大牛来了
坐着观看 大牛帮看看我分析的吧 指点下哦

还有我怎么成为 hunters啊 给指导下 能破格录用么?
ximo
发表于 2009-5-28 13:04:10 | 显示全部楼层
原帖由 lunglungyu 于 2009-5-28 12:48 发表
旨在参与,編輯中
546245
546246
546247
546248
546249

如果运行中的是第一个实例,

004012CA    56              push    esi
004012CB    FF15 28204000   call    dword ptr [402028]                ...


继续学习。。。
smallyou93
发表于 2009-5-28 13:08:03 | 显示全部楼层
LS两位都在装菜..

其实都是大牛来的..
花间酒
发表于 2009-5-28 13:11:01 | 显示全部楼层
原帖由 smallyou93 于 2009-5-28 13:08 发表
LS两位都在装菜..

其实都是大牛来的..

我不会的,充行,第一次分析

原帖由 newcenturysun 于 2009-5-28 12:55 发表


大牛来了
坐着观看 大牛帮看看我分析的吧 指点下哦

还有我怎么成为 hunters啊 给指导下 能破格录用么?

我是凑合进去的

[ 本帖最后由 lunglungyu 于 2009-5-28 13:12 编辑 ]
ximo
发表于 2009-5-28 13:58:20 | 显示全部楼层
加油,继续。
看了这么久,总算知道你分析的是哪个样本了。呵呵。

[ 本帖最后由 ximo 于 2009-5-28 14:06 编辑 ]
花间酒
发表于 2009-5-28 14:02:38 | 显示全部楼层
原帖由 ximo 于 2009-5-28 13:58 发表
加油,继续。
看来这么久,总算知道你分析的是哪个样本了。呵呵。

刚才去吃饭了,然后卡机了
冷月无森
头像被屏蔽
发表于 2009-5-28 14:35:08 | 显示全部楼层
偶不会啊
花间酒
发表于 2009-5-28 15:32:53 | 显示全部楼层
嘿嘿,有BUG。。。
一个人可以参加多少次?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 15:50 , Processed in 0.106897 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表