- 註冊時間
- 2003-12-7
- 線上時間
- 4057 小時
- 閱讀權限
- 200
- 積分
- 1412
- 主題
- 123
- 精華
- 1
- 文章
- 2153
該用戶從未簽到 - 文章
- 2153
|
用google找到網頁存檔的
原始網頁已經找不到
就直接貼過來囉
==========================================
名稱: 74be16.exe
語言: DaYou WuTao E Language 4.1x
類型: Trojan/Agent;
MD5: 8A76A03FF7EB4D626036DD0DD5BCAE4F
加殼: UPX 0.89.6 - 1.02 / 1.05 - 1.24 -> Markus & Laszlo [Overlay]
大小: 1.30 兆字節 (1,371,116 字節)
時間: 2009年4月13日, 22:51:29
SAL#09047
safelab.spaces.live.com
(感謝935***提供樣本)
概述:這是一個易語言編寫的木馬,使用文件夾圖標,部分變種有U盤傳播的可能(由183***提供的樣本具有此功能)。
脫殼:
00432AB0 > $ 60 pushad
00432AB1 . BE 00F04000 mov esi, 0040F000
00432AB6 . 8DBE 0020FFFF lea edi, dword ptr [esi+FFFF2000]
00432ABC . 57 push edi
到UPX解壓數據後的大跳轉
00432C2E .^\75 FA jnz short 00432C2A
00432C30 . 83EC 80 sub esp, -80
00432C33 .- E9 4BE6FCFF jmp 00401283
UPX解壓完成
00401283 52 push edx ; ntdll.KiFastSystemCallRet
00401284 56 push esi
00401285 57 push edi
在.rsrc段F2下斷,之後shift+f9來到:
7C93280D 66:8B50 0C mov dx, word ptr [eax+C]
7C932811 66:8955 B0 mov word ptr [ebp-50], dx
7C932815 8D70 10 lea esi, dword ptr [eax+10]
7C932818 8975 90 mov dword ptr [ebp-70], esi
7C93281B 8B55 0C mov edx, dword ptr [ebp+C]
Alt+f9一次來到:
100159F3 8B4C24 18 mov ecx, dword ptr [esp+18]
100159F7 6A 00 push 0
100159F9 6A 10 push 10
100159FB 6A 10 push 10
100159FD 6A 01 push 1
在code段F2下斷,shift+f9來到:
00423862 55 push ebp
00423863 8BEC mov ebp, esp
00423865 81EC 3C000000 sub esp, 3C
0042386B C745 FC 0000000>mov dword ptr [ebp-4], 0
00423872 68 08000000 push 8
00423877 E8 62780000 call 0042B0DE
0042387C 83C4 04 add esp, 4
0042387F 8945 F8 mov dword ptr [ebp-8], eax
00423882 8BF8 mov edi, eax
動作:
程序會使用LoadLibraryA加載ntdll.dll,並試圖使用ZwOpenSection, ZwMapViewOfSection等訪問物理內存,在操作過程中,程序也時常使用Sleep 300來短暫休眠。程序會創建%system32%\0f6226,%system32%\5a8dcc\,%system32% \76682f,%system32%\acf7ef\四個文件夾,以及%temp%目錄下一個文件夾用於釋放易語言庫之用。程序同樣會釋放庫到 5a8dcc文件夾中,同時會複製自己到acf7ef下的74BE16.EXE。
如果程序名稱不是74be16.exe,程序會試圖獲取當前程序完整路徑,並去除.exe後綴,然後調用Explorer [處理後路徑]來啟動同名文件夾,這個動作和昨天分析的Hider是一樣的。執行完explorer之後,程序將會打開74be16.exe,此時程序退出。
74be16.exe啟動後,將會創建一個快捷方式到%userprofile%\current\「開始」菜單\程序\啟動\中,名稱為74be16.lnk,指向74be16.exe,確保每次系統啟動時,程序可以被加載。
清理:
1, 結束進程74be16.exe
2, 刪除文件夾%system32%\0f6226,%system32%\5a8dcc\,%system32%\76682f,%system32%\acf7ef\和下面的所有文件
3, 如果出現大面積文件夾被隱藏的情況,可以參考http://safelab.spaces.live.com/blog/cns!A6B213403DBD59AF!1157.entry中的腳本,file2.size=57344改為file2.size=1371116或在您機器上實際大小同樣可以清理此病毒。
4, 同時建議清理*:\autorun.inf,*:\recycle.exe(如果有的話,此變種中看到他試圖生成recycle但是最後一個跳轉跳走了,沒有生成,估計其他變種可能有這個動作)
5, 刪除文件%userprofile%\current\「開始」菜單\程序\啟動\74be16.lnk
6, 重新啟動計算機 |
|