最新病毒样本一个！绝大部分的杀毒软件无法查出此病毒

qlong528

三楼的提取文件小a可以查杀，Win32:Visel-AJ[Trj]
楼主的样本小a没有反应

byxxdrls

拿了楼主的样本，给楼主说句公道话

大家看一下文件的数字签名就知道被修改过。

除了打这个补丁外，还会下载http://aikaka8848.2288.org:800/jax.exe
大部分程序应该能修复，至少这个程序可以，等杀软升级吧

小植

影子刚卸载了

wwwxxxddd

nod32 miss...

chxking

拿了楼主的样本，给楼主说句公道话

大家看一下文件的数字签名就知道被修改过。

除了打这个补丁外，还 ...
byxxdrls 发表于 2010-3-18 13:28

    谢谢你的仔细分析，自动下载执行的那个应该就是病毒体了。。。

comicwm

也就是说，原来的文件没毒，但是会自动下载病毒本体？

chxking

不是，原来的文件有毒，是一个木马，会劫持RPC，然后自动下载一个用于传播自身的病毒体。。。
PS：
估计是这样的。。。

IllusionWing

很简单就能修复
OEP在此
1005A45
用OD直接bp CreateThread
F9后附近有jmp eax
就是OEP了
不过病毒会覆写开始的OEP
所以直接还没执行就DUMP没用

IllusionWing

再简单弄一下
把多出来的东西手动抠掉
完美修复，数字签名正常

001514E1    6A 00           push    0
001514E3    6A 00           push    0
001514E5    8B45 FC         mov     eax, dword ptr [ebp-4]
001514E8    50              push    eax
001514E9    B9 C07E0010     mov     ecx, 10007EC0
001514EE    038D 74FEFFFF   add     ecx, dword ptr [ebp-18C]
001514F4    51              push    ecx
001514F5    6A 00           push    0
001514F7    6A 00           push    0
001514F9    FF95 64FEFFFF   call    dword ptr [ebp-19C]              ; CreateThread //执行病毒代码
001514FF    8B45 08         mov     eax, dword ptr [ebp+8]
00151502    5F              pop     edi
00151503    5E              pop     esi
00151504    5B              pop     ebx
00151505    8BE5            mov     esp, ebp
00151507    5D              pop     ebp
00151508    83C4 08         add     esp, 8
0015150B    FFE0            jmp     eax                              ; 恢复 ESP，跳回OEP
0015150D    33C0            xor     eax, eax
0015150F    5F              pop     edi
00151510    5E              pop     esi
00151511    5B              pop     ebx
00151512    8BE5            mov     esp, ebp
00151514    5D              pop     ebp
00151515    C3              retn

妖言

我有SONAR.