病毒名稱為autoupdate.exe,執行後無視窗。採用upx加殼,編寫語言為microsoft visual c++ 6.0。
病毒名稱:autoupdate.exe
所屬家族:木馬
md5值:776da18e62b346bb7b9f3f9f9c4fc158
sha1值:d541e35caad8ddc641c59a550218eaf289b64d9c
crc32:47cd188f
病毒行為:
連線到指定網路ip,接受傳送資料報、修改登錄檔。
環境:win7
工具:ida 、od、pchunter
建立sock連線ws2_32.dll
連線網路 106.15.100.10:443
監聽本地1075埠
修改登錄檔_新增啟動項
這裡判斷windows版本
osversioninfo結構體
typedef struct _osversioninfo osversioninfo;
比較dwplatformid欄位是否為 ver_platform_win32_windows
判斷如果為 win95或98跳轉
比較 dwmajorversion欄位 5:為2000以上版本
判斷如果為 是否是2000以下版本跳轉
wh_cbt(5) :安裝乙個掛鉤處理過程,接受對cbt應用程式有用的訊息 ,詳情參見 cbtproc 掛鉤處理過程.
第二個引數 訊息對調函式位址
第三個引數
hmod:指示了乙個動態鏈結的控制代碼,該動態連線庫包含了引數lpfn 所指向的掛鉤處理過程.若引數dwthreadid指示的執行緒由當前程序建立,並且相應的掛鉤處理過程定義於當前程序相關的**中,則引數hmod必須被設定為null(0).
第四個引數:指示了乙個執行緒識別符號,掛鉤處理過程與執行緒相關
看看訊息函式004b2adb,裡面做了什麼
下面建立乙個視窗
視窗屬性為80 就是 ws_ex_toolwindow
乙個隱藏視窗:這個屬性視窗有一下特點 1.
不在工作列顯示。 2.
不顯示在
alt+tab
的切換列表中。 3.
在任務管理器的視窗管理
tab中不顯示。
也就是乙個隱藏視窗
第二個hook
訊息函式位址為004b28af
這裡就是新增啟動項了,把自己啟動名稱偽裝成輸入法的名稱。
開啟software\microsoft\windows\currentversion\run鍵值新增ctfmon啟動項。
這是建立乙個udp服務端 埠為62008
具體行為如下:
該程式sock網路連線採用動態載入方式,初始化winsock 版本為2.2
繫結套接字
建立乙個tcp連線:
具體行為如下:
繫結埠
連線到指定ip
傳送乙個大小為1直接的資料報 內容為asscll碼21。
接收20個位元組大小的資料
』該樣本可能為某軟體的更新程式,裡面有大量loadlibrary呼叫非系統名稱的dll檔案。但自己新增啟動項,建立網路連線行為存在風險。
結束病毒程序autoupdate.exe
刪除檔案autoupdate.exe
刪除登錄檔鍵值
hkey_local_machine\software\microsoft\windows\currentversion\run下面的ctfmno項。
下對應的鍵值。
推薦一款網遊
三月王朝 也叫帝國霸略 挺不錯的,優點 20 多人約好晚上一起打都城,很帶勁。qq飛車採用了世界級的物理引擎physx,採納專業車手的建議,手感全面超越市場領先產品。qq飛車完全免費,qq號碼即可登陸。專為qq使用者設計的時尚的人物造型,爽快的漂移快感,帥哥與美女同在,速度與激情並存,帶你進入眩目的...
修正一款php webshell
if empty post newcontent ph4ckp v2.0 by pr0cess modified ph4ckp v2.0 modified operating system echo php os server name server ip server time server po...
一款新方塊遊戲
一款新方塊遊戲 這裡介紹的方塊遊戲是一款嶄新的方塊遊戲,無需安裝,直接執行,既可以鍛鍊反應速度,又可以增強形狀變換能力,使視覺方向擴充套件到上下左右四個方向。如圖 遊戲操作簡單,使用回車鍵開始遊戲。使用方向鍵調整上下左右的開口方向,繼續按方向鍵調整中心方塊的朝向,總是順時針旋轉。空格鍵發射,使中心方...