PALMisLIFE 討論區

搜索
鹹魚爸魅力四射舞蹈教室
查看: 7289|回復: 4
打印 上一主題 下一主題

這個算是病毒還是木馬?

[複製鏈接]

359

主題

1

好友

2398

積分

我要當壞人……

  • TA的每日心情
    開心
    2012-1-18 08:46
  • 簽到天數: 12 天

    連續簽到: 1 天

    [LV.3]偶爾看看II

    文章
    2141
    跳轉到指定樓層
    1#
    發表於 2009-4-25 20:17 |只看該作者 |倒序瀏覽
    除了轉帳,平常我幾乎不用IE,可能最近不曉得為什麼,
    常常無緣要故就彈跳出一個IE的視窗,
    找了一下,是這支程式在做怪,
    只可惜,公司的NORTON太不爭氣,一直抓不到這支,
    每次都要我自己去SYSTEM32裏面去砍,
    但是砍了,過了一陣子又會出來,
    有沒有可能這支是木馬,所以公司的防毒軟體抓不到?
    若是,有沒有那一套比較推薦的掃木馬軟體可以使用?
    最好是免費的。

    本帖子中包含更多資源

    您需要 登錄 才可以下載或查看,沒有帳號?免費註冊

    分享淘帖0 分享分享0 收藏收藏0 頂0 踩0

    123

    主題

    2

    好友

    1412

    積分

    該用戶從未簽到

    文章
    2153
    2#
    發表於 2009-4-25 20:43 |只看該作者
    用google找到網頁存檔的
    原始網頁已經找不到
    就直接貼過來囉
    ==========================================
    名稱: 74be16.exe
    語言: DaYou WuTao E Language 4.1x
    類型: Trojan/Agent;
    MD5: 8A76A03FF7EB4D626036DD0DD5BCAE4F
    加殼: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]
    大小: 1.30 兆字節 (1,371,116 字節)
    時間: 2009年4月13日, 22:51:29
    SAL#09047
    safelab.spaces.live.com
    (感謝935***提供樣本)

    概述:這是一個易語言編寫的木馬,使用文件夾圖標,部分變種有U盤傳播的可能(由183***提供的樣本具有此功能)。

    脫殼:
    00432AB0 > $  60            pushad
    00432AB1   .  BE 00F04000   mov     esi, 0040F000
    00432AB6   .  8DBE 0020FFFF lea     edi, dword ptr [esi+FFFF2000]
    00432ABC   .  57            push    edi
    到UPX解壓數據後的大跳轉
    00432C2E   .^\75 FA         jnz     short 00432C2A
    00432C30   .  83EC 80       sub     esp, -80
    00432C33   .- E9 4BE6FCFF   jmp     00401283
    UPX解壓完成
    00401283    52              push    edx                              ; ntdll.KiFastSystemCallRet
    00401284    56              push    esi
    00401285    57              push    edi
    在.rsrc段F2下斷,之後shift+f9來到:
    7C93280D    66:8B50 0C      mov     dx, word ptr [eax+C]
    7C932811    66:8955 B0      mov     word ptr [ebp-50], dx
    7C932815    8D70 10         lea     esi, dword ptr [eax+10]
    7C932818    8975 90         mov     dword ptr [ebp-70], esi
    7C93281B    8B55 0C         mov     edx, dword ptr [ebp+C]
    Alt+f9一次來到:
    100159F3    8B4C24 18       mov     ecx, dword ptr [esp+18]
    100159F7    6A 00           push    0
    100159F9    6A 10           push    10
    100159FB    6A 10           push    10
    100159FD    6A 01           push    1
    在code段F2下斷,shift+f9來到:
    00423862    55              push    ebp
    00423863    8BEC            mov     ebp, esp
    00423865    81EC 3C000000   sub     esp, 3C
    0042386B    C745 FC 0000000>mov     dword ptr [ebp-4], 0
    00423872    68 08000000     push    8
    00423877    E8 62780000     call    0042B0DE
    0042387C    83C4 04         add     esp, 4
    0042387F    8945 F8         mov     dword ptr [ebp-8], eax
    00423882    8BF8            mov     edi, eax

    動作:
    程序會使用LoadLibraryA加載ntdll.dll,並試圖使用ZwOpenSection, ZwMapViewOfSection等訪問物理內存,在操作過程中,程序也時常使用Sleep 300來短暫休眠。程序會創建%system32%\0f6226,%system32%\5a8dcc\,%system32% \76682f,%system32%\acf7ef\四個文件夾,以及%temp%目錄下一個文件夾用於釋放易語言庫之用。程序同樣會釋放庫到 5a8dcc文件夾中,同時會複製自己到acf7ef下的74BE16.EXE。

    如果程序名稱不是74be16.exe,程序會試圖獲取當前程序完整路徑,並去除.exe後綴,然後調用Explorer [處理後路徑]來啟動同名文件夾,這個動作和昨天分析的Hider是一樣的。執行完explorer之後,程序將會打開74be16.exe,此時程序退出。

    74be16.exe啟動後,將會創建一個快捷方式到%userprofile%\current\「開始」菜單\程序\啟動\中,名稱為74be16.lnk,指向74be16.exe,確保每次系統啟動時,程序可以被加載。

    清理:
    1, 結束進程74be16.exe
    2, 刪除文件夾%system32%\0f6226,%system32%\5a8dcc\,%system32%\76682f,%system32%\acf7ef\和下面的所有文件
    3, 如果出現大面積文件夾被隱藏的情況,可以參考http://safelab.spaces.live.com/blog/cns!A6B213403DBD59AF!1157.entry中的腳本,file2.size=57344改為file2.size=1371116或在您機器上實際大小同樣可以清理此病毒。
    4, 同時建議清理*:\autorun.inf,*:\recycle.exe(如果有的話,此變種中看到他試圖生成recycle但是最後一個跳轉跳走了,沒有生成,估計其他變種可能有這個動作)
    5, 刪除文件%userprofile%\current\「開始」菜單\程序\啟動\74be16.lnk
    6, 重新啟動計算機
    回復

    使用道具 舉報

    1

    主題

    1

    好友

    272

    積分

  • TA的每日心情
    開心
    2011-11-22 22:49
  • 簽到天數: 1 天

    連續簽到: 1 天

    [LV.1]初來乍到

    文章
    88
    3#
    發表於 2009-4-26 10:39 |只看該作者
    小弟前陣子也遇過類似的,
    它會在USB隨身碟製造一個跟資料夾名稱一樣的EXE(連ICO都是資料夾的圖型),然後會將原本所模仿的資料夾隱藏,讓使用者誤以為這個木馬EXE就是你想開的資料夾而誤點,神奇的是它真的還幫你新視窗開啟你所要檢視的該資料夾~~~ 檢視隱藏檔的功能看來都要開著比較保險~
    回復

    使用道具 舉報

    359

    主題

    1

    好友

    2398

    積分

    我要當壞人……

  • TA的每日心情
    開心
    2012-1-18 08:46
  • 簽到天數: 12 天

    連續簽到: 1 天

    [LV.3]偶爾看看II

    文章
    2141
    4#
    發表於 2009-4-26 11:07 |只看該作者
    難怪我覺得奇怪,怎麼我的資料夾有的變成隱藏的,
    原來又是亂插USB中的,既然是USB的毒,
    馬上去抓最新版的EFix,現在已經全部掃掉了。
    但是後來發現光掃掉還是沒用,他會有個資料夾的圖示,
    但類型卻是應用程式,這個一定要砍掉,
    不然一點進去,又會中獎。

    本帖子中包含更多資源

    您需要 登錄 才可以下載或查看,沒有帳號?免費註冊

    回復

    使用道具 舉報

    1

    主題

    1

    好友

    272

    積分

  • TA的每日心情
    開心
    2011-11-22 22:49
  • 簽到天數: 1 天

    連續簽到: 1 天

    [LV.1]初來乍到

    文章
    88
    5#
    發表於 2009-4-26 22:39 |只看該作者
    難怪我覺得奇怪,怎麼我的資料夾有的變成隱藏的,
    原來又是亂插USB中的,既然是USB的毒,
    馬上去抓最新版的EFix,現在已經全部掃掉了。
    但是後來發現光掃掉還是沒用,他會有個資料夾的圖示,
    但類型卻是應用程式 ...
    ysj 發表於 2009-4-26 11:07


    哈哈~ 對~ 就是這樣~
    感謝 ysj 兄的 "範例" XD~
    回復

    使用道具 舉報

    您需要登錄後才可以回帖 登錄 | 免費註冊

    與站長聯繫| PALMisLIFE 掌上生活      下載:更快、更棒、更好玩

    GMT+8, 2024-12-24 01:04 , Processed in 0.028409 second(s), 31 queries , Gzip On.

    Powered by Discuz!

    © 2001-2012 Comsenz Inc. style by eisdl

    回頂部