1   1  /  1  页   跳转

[原创] Win32.Crunk.a 简要分析

收藏
Sality888
头像
初生襁褓狮
  • 帖子:1
  • 注册: 2013-05-08
  • 来自:
发表于: 2013-05-08 11:31 | 只看楼主 短消息 资料
字号: 1楼

Win32.Crunk.a 简要分析

病毒名:Win32.Crunk.a

如果成功,它会删除以下文件:
  • %系统驱动器根目录%\*.*
  • %当前目录%\*.*




最重要的是搜索全盘PE文件,被感染的EXe 和 Scr 将无法被恢复。


EPO (入口模糊化 Entry Point Obscuring) - 受感染文件的 EP (入口 Entry Point) 保持不变。 病毒对程序代码进行修补,将其执行重定向到病毒代码。

病毒包含多态引擎。每次感染时整个病毒代码都会改变。
受感染的文件通常已经损坏或崩溃。


还会判断是否存在以下文件,有则删除:
C:\Boot.ini
C:\Ntldr.com
都是跟系统启动相关的重要系统文件

用户系统信息:Mozilla/5.0 (Windows NT 6.1) AppleWebKit/537.22 (KHTML, like Gecko) Chrome/25.0.1364.172 Safari/537.22
分享到:
gototop
 
networkedition
头像
社区嘉宾
  • 帖子:36698
  • 注册: 2008-02-28
  • 来自:
论坛8周年活动礼物09欢乐圣诞10温馨圣诞
发表于: 2013-05-08 13:34 | 短消息 资料
字号: 2楼

回复:Win32.Crunk.a 简要分析

这个分析也太简单了吧
gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2013-05-08 14:16 | 短消息 资料
字号: 3楼

回复 2F networkedition 的帖子

你指望还有什么??

分析出的这几个还不够你受的?
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
宏朗
头像
拙长孩提狮
  • 帖子:191
  • 注册: 2008-09-17
  • 来自:东北。
发表于: 2013-05-08 21:33 | 短消息 资料
字号: 4楼

回复:Win32.Crunk.a 简要分析

嗯,分析的不错,以后遇到了要多加注意了。
gototop
 
超级游戏迷
头像
卡卡技术团队
  • 帖子:25779
  • 注册: 2007-01-14
  • 来自:
卡卡名人堂论坛9周年纪念瑞星金牌用户
发表于: 2013-05-09 06:59 | 短消息 资料
字号: 5楼

回复:Win32.Crunk.a 简要分析

一、

引用:
如果成功,它会删除以下文件:
%系统驱动器根目录%\*.*
%当前目录%\*.*
“%当前目录%”是什么路径?我实在没弄明白。还请楼主解释清楚为好。

二、C:\Ntldr.com?
在XP系统下,跟系统启动相关的重要系统文件是同路径下的无扩展名文件ntldr 。
在Vista系统下,同路径下没有Ntldr.com这个“跟系统启动相关的重要系统文件”。
木有win7\win8操作系统,不知同路径下是否有该文件。
个人感觉是楼主笔误(应为C:\ntldr或C:\Ntdetect.com),或该病毒本身排斥其它病毒在%systemroot%目录下释放的ntldr.com文件,但ntldr.com不是系统启动相关的重要系统文件。

建议楼主完善分析后再发布。
最后编辑超级游戏迷 最后编辑于 2013-05-09 07:20:37
打酱油的……
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT