推荐文章
- 桌面恶意网站图标无法删除解决方案
- 每个页面挂马内容都不相同,如何批量清理(图)
- twex.exe,winlogon.exe,rstray.exe分析
- Worm.Win32.AutoRun.lmx行为分析
- 5566dh,wz123,v2233,Win+E解决方案
- CC0EC2C9.dll ,bKkCsU7Z6YntjH4G.ttf 等盗号木马
- jjxzwzjy090315.exe ,jjxzbjcj32dl.dll 等分析查
- dkmsskmgrs.dll,packet.dll 等病毒清除
- kvsys.sys ,tesafe.sys ,System32.exe查杀
- 隐藏IP 流量转移 可以防御网吧DDOS
- 免费安全工具肉鸡检测器 作者强力推荐
- hytnxobv.dll ,gzqqhx01.dat 查杀
- 下载器 keepSafe.exe 分析查杀
- 2d5b97.tmp ,2cb3df.tmp ,27dc5b.t 分析
- tmpqq10000a.dat 等病毒清除解决方案
- qin58.exe ,ResetTest.txt 等下载者病毒清除
- F_Server.exe 等病毒清除
- 行为分析Trojan.Win32.Buzus.apkp
- IE首页经常被改成5566dh,wz123,v2233
- “犇牛”变种 ibspyerps.dat分析
chinesesimple输入法木马简析
核心提示:几个特点如下:1 使用了文件夹图标同时程序描述里面使用了360安全卫士漏洞补丁检测模块的字样;2 使用了之前被盗号木马疯狂使用的输入法加载方式来自动加载;3 下载的病毒有包含扫荡波(利用MS08-67漏洞传播的蠕虫),如果局域网里面中招的话就比较悲剧的,印象中有不少的局域网MS08-67这个补丁还没有修补~~。病毒母体的主要功能1 将自身安装为输入法并且设置为默认生成随机名称的log文件到sys32(如 "C:\WINDOWS\system32\760924.log")并将自己安装
保护您的计算机 打造洁净网络 中国反病毒小组给您安全的保障
1 使用了文件夹图标同时程序描述里面使用了360安全卫士漏洞补丁检测模块的字样;
2 使用了之前被盗号木马疯狂使用的输入法加载方式来自动加载;
3 下载的病毒有包含扫荡波(利用MS08-67漏洞传播的蠕虫),如果局域网里面中招的话就比较悲剧的,印象中有不少的局域网MS08-67这个补丁还没有修补~~。
病毒母体的主要功能
1 将自身安装为输入法并且设置为默认
生成随机名称的log文件到sys32(如 "C:\WINDOWS\system32\760924.log")并将自己安装成名为chinese(simple)的输入法
2 API动态加载,貌似可能是为了过安全软件的某些检测功能
所需API都通过LoadLibraryA-GetProcAddress的方式动态调用,同时也看到不少字符串也采用了字符分割的方式来躲避安全软件查杀
/*403078*/ push 0041240C //Kernel32.dll
/*40307D*/ mov byte ptr [esp+8], 50 //这里是函数名称,这里是Process32Next
/*403082*/ mov byte ptr [esp+9], 72
/*403087*/ mov byte ptr [esp+A], 6F
/*40308C*/ mov byte ptr [esp+B], 63
/*403091*/ mov byte ptr [esp+C], cl
/*403095*/ mov byte ptr [esp+D], al
/*403099*/ mov byte ptr [esp+E], al
/*40309D*/ mov byte ptr [esp+F], 33
/*4030A2*/ mov byte ptr [esp+10], 32
/*4030A7*/ mov byte ptr [esp+11], 4E
/*4030AC*/ mov byte ptr [esp+12], cl
/*4030B0*/ mov byte ptr [esp+13], 78
/*4030B5*/ mov byte ptr [esp+14], 74
/*4030BA*/ mov byte ptr [esp+15], 0
/*4030BF*/ call dword ptr [<&kernel32.LoadLibraryA>] //加载Kernel32.dll
/*4030C5*/ mov esi, eax
/*4030C7*/ lea eax, dword ptr [esp+4]
/*4030CB*/ push eax
/*4030CC*/ push esi
/*4030CD*/ call dword ptr [<&kernel32.GetProcAddress>] //获取函数的地址
3 下载其他病毒
下载http://a.敏感词.com/s.gif保存到C:\windows\fonts\npt.ini,然后读取npt.ini文件对其进行解码,使用的解码方式也比较简单.(手工的方法可以使用C32ASM打开npt.ini文件,然后选择所有数据以后右键修改数据,然后选择ADD 如下图)
mov cl, [edx+eax]
.text:10001058 80 C1 0A add cl, 0Ah //这里进行解码
.text:1000105B 88 08 mov [eax], cl
.text:1000105D 40 inc eax
.text:1000105E 4E dec esi
.text:1000105F 75 F4 jnz short loc_10001055
.text:10001061 5E pop esi
4 MS08-67,扫荡波病毒值得关注
运行以后以后会不断设置并启动Computer Browser,Workstation两个服务(关闭这两个服务会导致扫荡波触发失败),然后不断的枚举局域网进行攻击。
此文章对你有帮助吗?如果未能解决你的困扰,请访问我们的论坛发帖求助吧,我要求助!
分享按钮
上一篇文章:木马下载器 was3v.exe ,32964.exe 下一篇文章:伪杀毒软件thinkpointhotfix.exe
