吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 1400|回复: 28

[PC样本分析] 对OSO病毒的一次简单分析

[复制链接]
发表于 2018-8-9 23:04 | 显示全部楼层
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
本帖最后由 吾爱看雪 于 2018-8-9 23:44 编辑

对OSO病毒的一次简单分析
由于病毒比较古老,而且网上样本一艘一大把,就不上传样本了。
  病毒分析报告:OSO.exe


病毒名称:oso.exe    卡巴:trojan-win32.QQPass.jh  金山:win32.troj.QQPass.jn.96897

病毒大小:96,897字节 

传播方式:网络下载、局域网传播、可疑动存储传播

病毒类型:QQ木马、U盘病毒

加壳发式:未加壳

编写语言:Borland Delphi 6.0 -7.0

指纹效验:
MD5         :0A2BA47887C20ABBB42D0A1DD436D9B4
RIPEMD-160  :A5753783E8D314F21D64CCCCA4352650EE4CCB6E
CRC-32      : 55B5B466

测试平台:win2000proSP4 + VM

释放文件:severe.exe、tfidma.dll、tmidma.exe、conime.exe、oso.exe、autorun.inf、hx1.bat、

病毒分析:

Oso.exe运行后释放severe.exe、tfidma.dll、tmidma.exe到%windir%\system32\下,释放conime.exe到%windir%\system32\drivers\下,开启severe.exe、tmidma.exe、conime.exe三个主进程调用rtutils.dll线程互守,通过修改注册表插入winlogon.exe进程实现登陆后启动;病毒通过修改注册表映像劫持,导致开启注册表编辑器等等一些程序会跳转到病毒所在目录运行病毒程序而不运行当前执行的任务;添加host使打开一些杀软的官方网址自动跳转到病毒指定网址;修改系统时间为2004-1-22;释放oso.exe和autorun.inf到d/e/f/g/h/i盘根目录下;使用GetWindow、GetKeyState、GetAsyncKeyState、FindWindowExA、FindWindowA、DefWindowProcA、CreateWindowExA等函数关闭含有如下字串的窗口:

使用net和sc命令关闭如下进程且禁用服务:
file:///Z:/msohtml1/03/clip_image014.jpg  

注册表启动项:
修改:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell
字符串: "Explorer.exeC:\WINNT\system32\drivers\conime.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
字符串: "0"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Policies\Explorer]
"NoDriveTypeAutoRun"=dword:b5
新建:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\adamrf
键值: 字符串:"C:\WINNT\system32\tfidma.exe"
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\tfidma
键值: 字符串:"C:\WINNT\system32\severe.exe"
关联映像劫持:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\Image File Execution Options\*.被劫持程序 \
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image FileExecution Options\*.
被劫持程序e\Debugger
键值: 字符串:"C:\WINNT\system32\drivers\adamrf.exe"

Autorun.inf内容:
[AutoRun]
open=OSO.exe
shellexecute=OSO.exe
shell\Auto\command=OSO.exe

hx1.bat内容:
@echo off
set date=2004-1-22
ping ** localhost > nul
date %date%
del %0

病毒查杀:

使用下述批处理配合NTSD –c q -pPID命令获取病毒进程并停止进程,删除被映像劫持的注册表项,删除病毒文件释放文件即可;或者使用相关程序取消映像劫持,在进行病毒文件删除。

echo wscript.echo "PID   ProcessName">>proess.vbe
echo for each ps in getobject


("winmgmts:\\.\root\cimv2:win32_process").instances_>>proess.vbe
echo wscript.echops.handle^&vbtab^&ps.name>>proess.vbe
echo next>>proess.vbe
cscript proess.vbe

病毒防范:

系统目录设置权限,在新建oso.exe文件到d/e/f/g/h/i根目录下取消所有用户的所有权限,使用防火墙关闭或审核本地137、138、端口。
QQ图片20180809234044.png
QQ图片20180809234100.png
QQ图片20180809234117.png
QQ图片20180809234207.png
QQ图片20180809234212.png

免费评分

参与人数 5吾爱币 +2 热心值 +5 收起 理由
woditian + 1 用心讨论,共获提升!
墨竹残水烟花冷 + 1 我很赞同!
下弦乀月 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
觇望 + 1 用心讨论,共获提升!
小添 + 1 + 1 我很赞同!

查看全部评分

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2018-8-10 05:28 | 显示全部楼层
CJTRAND 发表于 2018-8-10 00:22
而且网上样本一搜一大把

请勿灌水。良好回帖对楼主的分享点赞

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

 楼主| 发表于 2018-8-13 03:02 | 显示全部楼层

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2018-8-10 00:16 | 显示全部楼层

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2018-8-10 00:22 | 显示全部楼层
而且网上样本一搜一大把

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2018-8-10 08:38 | 显示全部楼层
我等小白过来学习一下

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2018-8-10 08:43 | 显示全部楼层
不明觉厉~ 膜拜大神

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2018-8-10 12:57 | 显示全部楼层
不明觉厉~ 膜拜大神

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2018-8-10 13:03 来自手机 | 显示全部楼层
不明觉厉膜拜大神,6666

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2018-8-10 15:41 | 显示全部楼层
感谢分享,虽然有些眼花缭乱..先学习中~~~

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

发表于 2018-8-10 16:06 | 显示全部楼层
又遇到一个大神

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52PoJie.Cn

快速回复 收藏帖子 返回列表 搜索

RSS订阅|手机版|小黑屋|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2018-8-18 04:39

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表