Board logo

标题: 好玩的一个程序,惊喜喔 [打印本页]
作者: 青帝     时间: 2008-1-3 17:41    标题: 好玩的一个程序,惊喜喔

好玩的一个程序,惊喜喔

刚安装XX360什么卫士,删除后发现在
C:\DOCUME~1\Admin\LOCALS~1\Temp\~nsu.tmp\
下有个Au_.exe的卸载程序未删除,纳闷之下运行了下,微点没有任何反应

然后突然发现在这个目录下有多了个Bu_.exe,连大小和MD5估计都和Au_.exe一样,大概是检测A没有就生成A,检测B,没有就生成B之类的东西,是XX360自己带的

好奇之下调试了下,查壳:无壳

发现如下:
004034CC  |.  BE 00F14100   MOV ESI,Au_.0041F100                     ;  ASCII "C:\DOCUME~1\Admin\LOCALS~1

\Temp\~nsu.tmp\Au_.exe"
004034D1  |>  A1 4C3F4200   /MOV EAX,DWORD PTR DS:[423F4C]
004034D6  |.  FFB0 20010000 |PUSH DWORD PTR DS:[EAX+120]             ; /Arg2
004034DC  |.  56            |PUSH ESI                                ; |Arg1
004034DD  |.  E8 AE250000   |CALL Au_.00405A90                       ; \Au_.00405A90
004034E2  |.  56            |PUSH ESI                                ; /FileName
004034E3  |.  FF15 44714000 |CALL DWORD PTR DS:[<&KERNEL32.DeleteFil>; \DeleteFileA
004034E9  |.  395C24 10     |CMP DWORD PTR SS:[ESP+10],EBX
004034ED  |.  74 3F         |JE SHORT Au_.0040352E
004034EF  |.  6A 01         |PUSH 1                                  ; /FailIfExists = TRUE
004034F1  |.  56            |PUSH ESI                                ; |NewFileName
004034F2  |.  68 00BC4200   |PUSH Au_.0042BC00                       ; |ExistingFileName = "C:\Documents and Settings\Admin\

桌面\Au_.exe"
004034F7  |.  FF15 A0704000 |CALL DWORD PTR DS:[<&KERNEL32.CopyFileA>; \CopyFileA
004034FD  |.  85C0          |TEST EAX,EAX
004034FF  |.  74 2D         |JE SHORT Au_.0040352E
00403501  |.  53            |PUSH EBX
00403502  |.  56            |PUSH ESI
00403503  |.  E8 B4220000   |CALL Au_.004057BC
00403508  |.  A1 4C3F4200   |MOV EAX,DWORD PTR DS:[423F4C]
0040350D  |.  FFB0 24010000 |PUSH DWORD PTR DS:[EAX+124]             ; /Arg2
00403513  |.  56            |PUSH ESI                                ; |Arg1
00403514  |.  E8 77250000   |CALL Au_.00405A90                       ; \Au_.00405A90
00403519  |.  56            |PUSH ESI                                ; /Arg1
0040351A  |.  E8 BC1D0000   |CALL Au_.004052DB                       ; \Au_.004052DB
0040351F  |.  3BC3          |CMP EAX,EBX
00403521  |.  74 0B         |JE SHORT Au_.0040352E
00403523  |.  50            |PUSH EAX                                ; /hObject
00403524  |.  FF15 EC704000 |CALL DWORD PTR DS:[<&KERNEL32.CloseHand>; \CloseHandle
0040352A  |.  895C24 10     |MOV DWORD PTR SS:[ESP+10],EBX
0040352E  |>  FE05 00544200 |INC BYTE PTR DS:[425400]
00403534  |.  4F            |DEC EDI
00403535  |.^ 75 9A         \JNZ SHORT Au_.004034D1

004034CC  |.  BE 00F14100   MOV ESI,Bu_.0041F100                     ;  ASCII "C:\DOCUME~1\Admin\LOCALS~1

\Temp\~nsu.tmp\Au_.exe"
004034D1  |>  A1 4C3F4200   /MOV EAX,DWORD PTR DS:[423F4C]
004034D6  |.  FFB0 20010000 |PUSH DWORD PTR DS:[EAX+120]             ; /Arg2
004034DC  |.  56            |PUSH ESI                                ; |Arg1
004034DD  |.  E8 AE250000   |CALL Bu_.00405A90                       ; \Bu_.00405A90
004034E2  |.  56            |PUSH ESI                                ; /FileName
004034E3  |.  FF15 44714000 |CALL DWORD PTR DS:[<&KERNEL32.DeleteFil>; \DeleteFileA
004034E9  |.  395C24 10     |CMP DWORD PTR SS:[ESP+10],EBX
004034ED  |.  74 3F         |JE SHORT Bu_.0040352E
004034EF  |.  6A 01         |PUSH 1                                  ; /FailIfExists = TRUE
004034F1  |.  56            |PUSH ESI                                ; |NewFileName
004034F2  |.  68 00BC4200   |PUSH Bu_.0042BC00                       ; |ExistingFileName = "C:\Documents and Settings\Admin\

桌面\Bu_.exe"
004034F7  |.  FF15 A0704000 |CALL DWORD PTR DS:[<&KERNEL32.CopyFileA>; \CopyFileA
004034FD  |.  85C0          |TEST EAX,EAX
004034FF  |.  74 2D         |JE SHORT Bu_.0040352E
00403501  |.  53            |PUSH EBX
00403502  |.  56            |PUSH ESI
00403503  |.  E8 B4220000   |CALL Bu_.004057BC
00403508  |.  A1 4C3F4200   |MOV EAX,DWORD PTR DS:[423F4C]
0040350D  |.  FFB0 24010000 |PUSH DWORD PTR DS:[EAX+124]             ; /Arg2
00403513  |.  56            |PUSH ESI                                ; |Arg1
00403514  |.  E8 77250000   |CALL Bu_.00405A90                       ; \Bu_.00405A90
00403519  |.  56            |PUSH ESI                                ; /Arg1
0040351A  |.  E8 BC1D0000   |CALL Bu_.004052DB                       ; \Bu_.004052DB
0040351F  |.  3BC3          |CMP EAX,EBX
00403521  |.  74 0B         |JE SHORT Bu_.0040352E
00403523  |.  50            |PUSH EAX                                ; /hObject
00403524  |.  FF15 EC704000 |CALL DWORD PTR DS:[<&KERNEL32.CloseHand>; \CloseHandle
0040352A  |.  895C24 10     |MOV DWORD PTR SS:[ESP+10],EBX
0040352E  |>  FE05 00544200 |INC BYTE PTR DS:[425400]
00403534  |.  4F            |DEC EDI
00403535  |.^ 75 9A         \JNZ SHORT Bu_.004034D1

这回在004034F7  |.  FF15 A0704000 |CALL DWORD PTR DS:[<&KERNEL32.CopyFileA>; \CopyFileA
这行执行后,便出现了微点报警了,发现病毒衍生物之类的,提示删除

纳闷,那么刚才执行目标程序时候都没有任何反应,大家看看截图,好奇而已不要见怪

微点果然是个猛家伙,360什么的连自己都做这类恶搞程序,删除时候主动连接124.238.254.48(河北)这个地址,估计要搞什么调查或者收集信息之类的事情了

通过这件事情,我明白了什么都要动手试验下才知道......为什么微点起先没有任何反应,调试时候又发现目标程序为病毒衍生物?

奇怪之极:)

给微点的又一个建议:加强主动发现的能力,比方说我解开RAR压缩包的时候就发现病毒,不要非得运行起来,如NOD32那样的启发扫描......将隐患隔绝在执行之前,我试验了威金等病毒包,解压到当前目录下后都没有自动发现,非要执行才弹出提示......如果采用双击压缩包,再选择解压的话是可以拦截的,美中不足啊

[ Last edited by 青帝 on 2008-1-3 at 17:51 ]
附件 1: 1.JPG (2008-1-3 17:41, 23.53 K,下载次数: 29)


附件 2: 2.JPG (2008-1-3 17:41, 14.79 K,下载次数: 42)


附件 3: 3.JPG (2008-1-3 17:42, 14.13 K,下载次数: 66)


附件 4: 4.JPG (2008-1-3 17:42, 18.75 K,下载次数: 48)


作者: Legend     时间: 2008-1-3 18:34
谢谢楼主的反馈和建议,您可以把您的这个程序样本压缩加密连同微点软件辅助功能-生成技术支持信息导出复制到桌面压缩发到virus@micropoint.com.cn我们具体分析下。
随信请注明您的具体情况,发送完请把您的邮箱地址用论坛短消息发给我,方便对您的问题的跟踪处理。
作者: 494547580     时间: 2008-1-4 16:07
给微点的又一个建议:加强主动发现的能力,比方说我解开RAR压缩包的时候就发现病毒,不要非得运行起来,如NOD32那样的启发扫描......将隐患隔绝在执行之前,我试验了威金等病毒包,解压到当前目录下后都没有自动发现,非要执行才弹出提示......如果采用双击压缩包,再选择解压的话是可以拦截的,美中不足啊
   我同意这个观点.不然等解包出来了才知道有病毒,那不是完蛋了吗 可以杀不怕就怕遇见一些牛的病毒木马..又得头头痛了..特别是菜鸟(我是也:))
作者: Legend     时间: 2008-1-4 16:18


  Quote:
Originally posted by 494547580 at 2008-1-4 16:07:
给微点的又一个建议:加强主动发现的能力,比方说我解开RAR压缩包的时候就发现病毒,不要非得运行起来,如NOD32那样的启发扫描......将隐患隔绝在执行之前,我试验了威金等病毒包,解压到当前目录下后都没有自动发现,非 ...

微点是根据病毒行为进行杀毒的,以特征码扫描为辅,在您解压文件时如果已知特征库扫描没有发现,会根据病毒行为进行分析。如果楼上发现有微点无法处理的病毒,请直接发送到我们virus@micropoint.com.cn 邮箱,我们好及时分析解决,谢谢
作者: tan88     时间: 2008-1-4 19:28
我不太懂,不过自从用了微点后就没中过招,还是要感谢微点.
作者: bigpoint     时间: 2008-1-4 19:46
有能力的帮微点完善,吾等菜鸟只有旁观的份了        :cool:
作者: meieg     时间: 2008-1-4 21:23
呵呵 装了微点的其实大可不必担心电脑会中毒~~微点是很负责的噢!!
作者: Legend     时间: 2008-1-7 11:15
由于没有收到楼主进一步的反馈信息,本主题暂作关闭处理,如有问题,请另开新帖讨论



欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/) bbs.micropoint.com.cn