Board logo

标题: 大家小心ARP蠕虫 [打印本页]
作者: 反黑先锋     时间: 2007-11-19 20:06    标题: 大家小心ARP蠕虫

win32k在病毒风向标的群里看到达发了N多的样本连接,又是pcibus.sys这个东东,近期怎么这么多呢?那会搭建LiveKD没空看,一会glacier_lk直接扔过来一个,开着微点OD分析,放出了那个pcibus.sys并打开svchost.exe注入的时候被微点挂了。



看着就不对劲,驱动怎么注入svchost.exe?扔进IDA看了一下是个exe文件,而且还是多层捆绑的,最少不下四个文件捆绑,还会搞出一大堆的病毒文件,至于哪个是释放哪个是拷贝就懒得去看了,用搞出代替,相关图片是这些文件(不包括被下载的,据说是会下载,没有看到相关特征,估计是他捆绑的那几位小毒所所为)



注册一个服务(未知没有去跟)遍历文件感染exe、com、html、htm、asp、php、jsp文件(方式是老方法了),感觉跳过了a盘,由于被捆绑的一个文件微点已知,无法OD跟了,关了微点又怕不小心把偶本本给废了:P,看看API得了,都是这样子,李俊的徒子徒孙  



利用若口令创建一个局域网网络连接进行病毒传播后结束网络连接,SendARP进行ARP欺骗

push    ebp
mov     ebp, esp
sub     esp, 14h
or      eax, 0FFFFFFFFh
mov     [ebp+pMacAddr], eax
mov     [ebp+var_8], eax
mov     [ebp+PhyAddrLen], 6
mov     ecx, [ebp+DestIP]
mov     [ebp+var_10], ecx
xor     eax, eax
lea     eax, [ebp+PhyAddrLen]
push    eax             ; PhyAddrLen
lea     ecx, [ebp+pMacAddr]
push    ecx             ; pMacAddr
xor     eax, eax
push    eax             ; SrcIP
mov     edx, [ebp+DestIP]
push    edx             ; DestIP
call    SendARP
cmp     [ebp+PhyAddrLen], 6
jnz     short loc_402B01



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn