吾爱破解 - LCG - LSG |安卓破解|病毒分析|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 24057|回复: 17
收起左侧

[PC样本分析] 卡饭上的马 分析 by smallyou93[LSG]

   关闭 [复制链接]
smallyou93 发表于 2009-4-26 03:11
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 是昔流芳 于 2011-2-11 15:49 编辑

样本来源:http://bbs.52pojie.cn/thread-23199-1-1.html

1.调用CMD执行以下命令:
cmd /c sc config ekrn start= disabled
cmd.exe /c taskkill.exe /im ekrn.exe /f

明显针对Nod....

2.释放文件%SystemRoot%\System32\killdll.dll

反复写入该文件并加载
%SystemRoot%\System32\rundll32.exe %SystemRoot%\System32\killdll.dll testall

篡改驱动
%SystemRoot%\System32\Drivers\aec.SYS
%SystemRoot%\System32\Drivers\AsyncMac.sys

加载,恢复SSDT

添加IFEO,挟持多种安软

删除启动项
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

最后删除自身

3.释放文件%SystemRoot%\??????_xeex.exe

下载木马群。。。。
http://wgg.6d2n.com/01/fz.txt

1:http://u8.d7n9.com/sb/ok.exe
1:http://u2.d7n9.com/la/L1.exe
1:http://u2.d7n9.com/la/L3.exe
1:http://u2.d7n9.com/la/L4.exe
1:http://u2.d7n9.com/la/L5.exe
1:http://u2.d7n9.com/la/L6.exe
1:http://u2.d7n9.com/la/L7.exe
1:http://u3.d7n9.com/lm/S10.exe
1:http://u3.d7n9.com/lm/S1.exe
1:http://u3.d7n9.com/lm/S8.exe
1:http://u3.d7n9.com/lm/S2.exe
1:http://u3.d7n9.com/lm/S12.exe
1:http://u3.d7n9.com/lm/S14.exe
1:http://u3.d7n9.com/lm/S01.exe
1:http://u2.d7n9.com/lm/M5.exe
1:http://u2.d7n9.com/lm/M39.exe
1:http://u2.d7n9.com/lm/M25.exe
1:http://u2.d7n9.com/lm/M4.exe
1:http://u2.d7n9.com/lm/M35.exe
1:http://u2.d7n9.com/lm/M33.exe
1:http://u2.d7n9.com/lm/M01.exe
1:http://u3.d7n9.com/lm/S15.exe
1:http://u3.d7n9.com/lm/S16.exe
1:http://u3.d7n9.com/lm/S21.exe
1:http://u2.d7n9.com/lm/M37.exe
1:http://u2.d7n9.com/lm/M15.exe
1:http://u2.d7n9.com/lm/M24.exe
1:http://u2.d7n9.com/lm/M38.exe
1:http://u2.d7n9.com/lm/M23.exe
1:http://u2.d7n9.com/lm/M02.exe
1:http://u3.d7n9.com/lm/S13.exe
1:http://u3.d7n9.com/lm/S17.exe
1:http://u3.d7n9.com/lm/S20.exe
1:http://u3.d7n9.com/lm/S21.exe
1:http://u3.d7n9.com/lm/S11.exe
1:http://u7.d7n9.com/cj/1a.exe
1:http://u9.d7n9.com/cj/a2.exe
1:http://u9.d7n9.com/cj/a10.exe
1:http://u9.d7n9.com/cj/a6.exe
1:http://u7.d7n9.com/cj/a9.exe
1:http://u7.d7n9.com/cj/csj.exe
1:http://u0.d7n9.com/cj/a8.exe
1:http://u8.d7n9.com/sb/01.exe
1:http://u0.d7n9.com/cj/sb1.exe


4.释放文件%SystemRoot%\System32\Drivers\pcidump.sys
安装驱动并加载恢复SSDT

_uok.bat(可能是随机名)
删除自身
:Repeat
del "C:\DOCUME~1\SMALLY~1\桌面\Actvev.exe"
if exist "C:\DOCUME~1\SMALLY~1\桌面\Actvev.exe" goto Repeat
rmdir C:\DOCUME~1\SMALLY~1\桌面
del "C:\DOCUME~1\SMALLY~1\LOCALS~1\Temp\_uok.bat"

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| smallyou93 发表于 2009-4-26 03:12
篡改驱动
%SystemRoot%\System32\Drivers\aec.SYS
%SystemRoot%\System32\Drivers\AsyncMac.sys

加载,恢复SSDT

启动进程%SystemRoot%\??????_xeex.exe

%SystemRoot%\System32\Drivers\pcidump.sys
安装驱动并加载恢复SSDT


关键是驱动,如果看守好drivers目录的话,这病毒就没戏了
Hmily 发表于 2009-4-26 12:26
vistalong 发表于 2009-4-26 14:03
733 发表于 2009-4-27 11:27
谢谢老大!!!
frozenrain 发表于 2009-4-29 18:22
:D都分析这个马了
lackiy 发表于 2009-4-29 21:51
哇。分析的好厉害
冷血书生 发表于 2009-4-30 13:12
继续又继续膜拜93大牛
小瞬子 发表于 2009-4-30 13:32
:$我想学,谁教我
王的男人 发表于 2009-5-7 11:18
我也想学哈哈哈哈
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则 警告:本版块禁止灌水或回复与主题无关内容,违者重罚!

快速回复 收藏帖子 返回列表 搜索

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-3-29 16:49

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表