标题:
穿还原 到处乱插
[打印本页]
作者:
点饭的百度空间
时间:
2008-1-30 14:25
标题:
穿还原 到处乱插
这毒蛮强的说,不仅穿了好多还原,还给explorer插了点另类进去,这样的毒越来越多了,貌似见过好几个类似的样本,插svchost的、services的、explorer的、都太野蛮了,太野蛮了
PAGE:000107E5
PAGE:000107E5 loc_107E5: ; CODE XREF: sub_10726+B1 j
PAGE:000107E5 mov eax, [ebp+var_20]
PAGE:000107E8 inc eax
PAGE:000107E9 push eax ; size_t
PAGE:000107EA push [ebp+arg_0] ; void *
PAGE:000107ED add esi, edi
PAGE:000107EF push esi ; void *
PAGE:000107F0 call memcpy
PAGE:000107F5 add esp, 0Ch
PAGE:000107F8 lea eax, [ebp+var_38]
PAGE:000107FB push eax
PAGE:000107FC call KeUnstackDetachProcess
PAGE:00010802 push ebx
PAGE:00010803 push 1
PAGE:00010805 push edi
PAGE:00010806 push ebx
PAGE:00010807 push offset sub_10680
PAGE:0001080C push ebx
PAGE:0001080D mov esi, [ebp+arg_4]
PAGE:00010810 push esi
PAGE:00010811 push [ebp+P]
PAGE:00010814 call KeInitializeApc
PAGE:0001081A push ebx
PAGE:0001081B push ebx
PAGE:0001081C push ebx
PAGE:0001081D push [ebp+P]
PAGE:00010820 call KeInsertQueueApc
PAGE:00010826 test al, al
PAGE:00010828 jnz short loc_1084E
PAGE:0001082A push MemoryDescriptorList ; MemoryDescriptorList
PAGE:00010830 call MmUnlockPages
PAGE:00010836
PAGE:00010836 loc_10836: ; CODE XREF: sub_10726+BD j
PAGE:00010836 push MemoryDescriptorList ; Mdl
PAGE:0001083C call IoFreeMdl
PAGE:00010842 push ebx ; Tag
PAGE:00010843 push [ebp+P] ; P
PAGE:00010846 call ExFreePoolWithTag
PAGE:0001084C jmp short loc_1087D
仗着胆子和微点用本本直接跑,KK如图:
驱动要重启后才可以卸载
BY:unknown tycoon
作者:
Legend
时间:
2008-1-30 14:50
请楼主将此样本发送到我们
virus@micropoint.com.cn
邮箱,随信请附带此贴链接,谢谢。
您发送完后,请通过论坛短消息将您的邮箱地址发给我,也请附带此贴链接
作者:
点饭的百度空间
时间:
2008-1-30 18:39
汗 我没有样本 样本微点反病毒应该已有
作者:
jimice
时间:
2008-2-3 11:13
好厉害的毒,以后的毒也会越来越厉害的!
作者:
yiyefuwei
时间:
2008-2-3 14:49
不算新的东西了~~这些
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
