查看文章 |
Win32.Downloader.m
2007-10-25 15:17
Virus.Win32.Downloader.m多变感染样本的分析与修复工具2 样本:  Virus.Win32.Downloader.m.zip 下载: http://www.youswap.com/index.php?download_id=d52c106e-cd69-102a-a8a3-0030488882b4 zip(密码)(password): http://hi.baidu.com/503165656 样本有2个可能发过,有一个新的,原还有几个,可修复后运行不了,就不发了 ===================================== Virus.Win32.Downloader.m样本是多变的, 入口没有加密,只是感染节的文件偏移多变,加上我用2个不同版本的exe分析,没有运行修复后的sss.exe(  )--------只是感染节的文件偏移多变------- 4 .+% 00046000 0000084B 0000A000 0000084B E00000E0 4 .+% 00207000 0000084B 00063A00 0000084B E00000E0 5 .+% 0001A000 0000084B 00013600 0000084B E00000E0 --- 实际改下子程序就能修复了! 请升级 凝逸反毒,凝逸修复引擎C001.1.2版能修复多变种的Virus.Win32.Downloader.m了 下载凝逸反毒 http://503165656.googlegroups.com/web/n1.htm -- 感染文件sss.exe nyfd.exe 为易语言写的,要运行,到 http://503165656.googlegroups.com/web/n1.htm 写个完全版本,放入就能运行 ===================================== ================= --------------- 在变种的感染分析中: MicrosoftCTO(6108661)与阿虎(48993263)给予不少帮助 転生の炎(2605522)提供感染的exe 谢谢! --- MicrosoftCTO(6108661)与阿虎(48993263)的分析与我的分析大体一样, 他们还把病毒的更新文件地址,提取出来,强人! (阿虎的分析 http://hi.baidu.com/xdct/blog/item/65edcadcec34dea2cc11666c.html) --- 006075DF C785 38FFFFFF 68740000 mov dword ptr ss:[ebp-C8],7468 ;这些字符就是病毒的更新文件地址http://www.we168.org/Data/a.txt --------------- ======================= ----------------------- sss.exe感染 ========PE格式分析========== 文件头分析【PE Headers】 文件格式 :unknown signature, probably MS-DOS DOS_HEADER 文件头长度 :176 文件运行所要求的CPU :Intel 80386 处理器或更高 节数目 :4 文件创建的时间 :2000年5月19日10时11分55秒 OptionalHeader 结构大小 :E0 文件信息的标记 :10F 标志字 :10B 连接器版本号 :4.0 代码段长度 :0 已初始化数据块大小 :9D57 未初始化数据块大小 :39000 ★程序入口 [EntryCodeData]:00046441 代码段起始 [BaseOfCode]:00001000 数据库段起始 [BaseOfData]:0003A000 ★优先装载地址 [ImageBase]:00400000 内存中节对齐粒度 :1000 文件中节对齐粒度 :200 系统所需版本号 :4.0 自定义版本号 :1.0 子系统所需版本号 :4.0 内存中PE映像体的尺寸 :4684B 所有头+节表的大小 :400 校验和 :133AE 文件系统 :IMAGE_SUBSYSTEM_WINDOWS_GUI DLL特性 :0 保留栈的大小 :100000 初始时指定栈大小 :1000 保留堆的大小 :100000 指定堆大小 :1000 加载器标志 :0 Rva数和大小 :10 分析节表【Section Table】 序号 名称 代码地址 代码长度 文件偏移 文件长度 内存属性 1 00001000 00039000 00000400 00000000 E0000060 2 0003A000 00009D57 00000400 00008A00 E0000060 3 00044000 0000115C 00008E00 00001200 E0000060 4 .+% 00046000 0000084B 0000A000 0000084B E00000E0 ------------------- --------------------------- nyfd.exe感染 ========PE格式分析========== 文件头分析【PE Headers】 文件格式 :unknown signature, probably MS-DOS DOS_HEADER 文件头长度 :176 文件运行所要求的CPU :Intel 80386 处理器或更高 节数目 :4 文件创建的时间 :2000年5月19日10时11分55秒 OptionalHeader 结构大小 :E0 文件信息的标记 :10F 标志字 :10B 连接器版本号 :4.0 代码段长度 :0 已初始化数据块大小 :636F4 未初始化数据块大小 :1A0000 ★程序入口 [EntryCodeData]:00207441 代码段起始 [BaseOfCode]:00001000 数据库段起始 [BaseOfData]:001A1000 ★优先装载地址 [ImageBase]:00400000 内存中节对齐粒度 :1000 文件中节对齐粒度 :200 系统所需版本号 :4.0 自定义版本号 :1.0 子系统所需版本号 :4.0 内存中PE映像体的尺寸 :20784B 所有头+节表的大小 :400 校验和 :70B81 文件系统 :IMAGE_SUBSYSTEM_WINDOWS_GUI DLL特性 :0 保留栈的大小 :100000 初始时指定栈大小 :1000 保留堆的大小 :100000 指定堆大小 :1000 加载器标志 :0 Rva数和大小 :10 分析节表【Section Table】 序号 名称 代码地址 代码长度 文件偏移 文件长度 内存属性 1 00001000 001A0000 00000400 00000000 E0000060 2 001A1000 000636F4 00000400 00062400 E0000060 3 00205000 00001104 00062800 00001200 E0000060 4 .+% 00207000 0000084B 00063A00 0000084B E00000E0 -------------------------------- extract.exe感染 ========PE格式分析========== 文件头分析【PE Headers】 文件格式 :unknown signature, probably MS-DOS DOS_HEADER 文件头长度 :216 文件运行所要求的CPU :Intel 80386 处理器或更高 节数目 :5 文件创建的时间 :2001年8月17日20时53分16秒 OptionalHeader 结构大小 :E0 文件信息的标记 :10F 标志字 :10B 连接器版本号 :7.0 代码段长度 :12000 已初始化数据块大小 :5000 未初始化数据块大小 :0 ★程序入口 [EntryCodeData]:0001A441 代码段起始 [BaseOfCode]:00001000 数据库段起始 [BaseOfData]:00013000 ★优先装载地址 [ImageBase]:01000000 内存中节对齐粒度 :1000 文件中节对齐粒度 :200 系统所需版本号 :5.1 自定义版本号 :5.1 子系统所需版本号 :4.0 内存中PE映像体的尺寸 :1A84B 所有头+节表的大小 :400 校验和 :22ECB 文件系统 :IMAGE_SUBSYSTEM_WINDOWS_CUI DLL特性 :FFFF8000 保留栈的大小 :40000 初始时指定栈大小 :1000 保留堆的大小 :100000 指定堆大小 :1000 加载器标志 :0 Rva数和大小 :10 分析节表【Section Table】 序号 名称 代码地址 代码长度 文件偏移 文件长度 内存属性 1 .text 00001000 00011F7C 00000400 00012000 E0000020 2 .data 00013000 00004A44 00012400 00000E00 C0000040 3 .rsrc 00018000 00000400 00013200 00000400 40000040 4 .wtq 00019000 00000001 00013600 00000000 E0000020 5 .+% 0001A000 0000084B 00013600 0000084B E00000E0 |
最近读者:
