幕:
昨天得猫叔样本,在此致谢!
今天闲来无事,进影子浅分析。。分析结果让我大吃一惊,竟然能绕过SSM。。在SSM眼P下胡作非为。。
看来SSM少了个FD。。在某种意义上。。SSM。。。。5555~伤心死了。。
===========================================================
File size: 251904 bytes
MD5: 50d2a304a75dc49b3ac4cc77d2614d01
SHA1: 9b4ce217ffc08bd642735cb0e7fe9c03fb10ffff
加壳方式:未
编写语言:Delphi 6.0 - 7.0
BitDefender 7.2 04.14.2007 BehavesLike:Win32.FileInfector
F-Secure 6.70.13030.0 04.14.2007 W32/NetworkWorm
Norman 5.80.02 04.14.2007 W32/NetworkWorm
Panda 9.0.0.4 04.14.2007 Suspicious file
全球就4家反病毒公司有报。。(熊猫杀软报可疑文件)哎。。Dr没报。。心寒。。。
==============================================================
呵呵,偶英语不好,不过还是勉强的翻译一下。。:
嗨!朋友
你的电脑已经中了我的蠕虫(病毒)!
如果你想清除这个病毒
请你联系我的QQ号码:(下面的数字就不翻译,懒得打字。。)
这个蠕虫名字是:Black-Day(呵呵,我叫他黑天小鬼 ^_^)
这个病毒的作者是:wswhcker(一个名字,(病毒)黑客,呵呵)
的确,和汇编内容相应证:
"欢迎代码"写在尾部,跳到13153278执行,
呵呵,就是这样,用大跳转的方法,配合那个"欢迎语"(的确,那时候我分神了,10秒翻译后在反映过来.)
这时候,病毒已经"开工"了,一开始我并没有发现异常,不过我开的千千..5555~歌都不完整,断断续续的..
然后打开任务管理器,果然,来了2个"客人"
晕,忘记做处理了。...我真的很抱歉..。那进程的网站别去点!!。。。>_<
然后关闭进程..暂时缓和了一点~(那时候我进程里4个)其中一个关闭不掉,呵呵,被我用Ntsd解决了..
先来看看病毒的主要"工作"...
呵呵,图有说明了,就不费话了~.看看偶的电脑怎么被"蹂躏"吧~
有点头疼,看着这些调皮"小鬼" 哭笑不得..呵呵
可能大家注意到了,并不是象汇编内容说的那样,覆盖所有格式的文件,似乎只是EXE文件?!.
呵呵,不管了,不过可以肯定的是,汇编里内容是30000ms检测盘符(从后面检查起的)-懒得截图了..
也就是每30秒检查(感染)下是不是有除固定分区外的别分区(H-Z?)
它确实那些做了,我的文件都是从F盘起被感染的.5555~
在这点,某种角度来说,从"Autorun.inf"技术继承过来.的确,U盘病毒太泛滥了,呵呵(大家都懂的防范了)
嗯拉,报着"很小心的"心理,运行一下..
呵呵,挂掉了,又是那个"欢迎语"..头疼...
用OD观察下被感染的程序..
呵呵,被写入了"黑天小鬼"的所有病毒代码(注意这点,不是捆绑,而是全部替代!)
,然后我检查下了文件大下,咦,文件大小不变!
可能如作者说的,可以恢复?偶不晓得,太高深了,呵呵^_^
看看它还做了些什么.
呵呵,简单说就是挂马拉,略过...(网页制作的遭殃了)
差不多过了..?嗯,好像是半小时吧,看看感染速度..
呵呵,安装在E盘的,速度不慢呢.遍历感染.
然后运行时候就出现了那个"欢迎语"其实在那个危险的对话筐背后,病毒已经开始工作了,呵呵
SSM一直没反映,5555~真的太伤心,我想,如果是SNS的3D监控的话,应该可以捕捉到了吧..
哎...SSM...
病毒技术太高了?
的确..能饶过SSM的.应该是到了匪夷所思的地步..
不过....
试用了那招IFEO重定向..成功,系统一切正常....
IFEO破教程,看拙做
http://forum.ikaka.com/topic.asp?board=28&artid=8293394
....
现在的网络病毒时代..能绕过SSM.以后应该也能绕过3D的SNS之类的监控吧..
看来..习惯永远是最重要的
PS:次病毒似乎不带感染局域功能,也不源邮件传播..依靠的是系统漏洞和挂马方式传播..
请各位注意修复系统漏洞
