标题:
Tlbs病毒(一) 微点的回答
[打印本页]
作者:
点饭的百度空间
时间:
2008-12-27 21:28
标题:
Tlbs病毒(一) 微点的回答
平不孤独
http://www.baidu.com/s?ie=gb2312 ... 2%A1%B6%BE&ct=0
<link
最近这个貌似是很多的,有大有小卡饭都看到n多了,上网搜了一下貌似木马下载器,找了几个看看n多安全厂商都是带壳入库,很xxx,所以xxx一下,貌似要出现病毒用面积压死杀毒软件的事情了,噢,好像已经有了,而且有好几种。。。
没那麽多杀毒软件,在线一下吧
文件名称 : Packed.Win32.Tibs.exe
文件大小 : 91648 byte
文件类型 : PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 : 02cdcb59c2b52be0d4a86fe9392cf097
SHA1 : e87493e8bc000936a5125d6e41a1b10022c967db
扫描结果 : 85%的杀软(33/39)报告发现病毒
时间 : 2008/12/27 15:21:36 (CST)
软件名称 引擎版本 病毒库版本 病毒库时间 扫描结果 时间
a-squared 4.0.0.29 20081226023126 2008-12-26 Packed.Win32.Tibs!IK 3.089
AntiVir 7.9.0.45 7.1.1.39 2008-12-26 Worm/Zhelatin.zk 1.634
AVAST! 3.0.1 081226-0 2008-12-26 Win32:Tibs-EIG [Trj] 0.005
AVG 7.5.52.442 270.10.0/1865 2008-12-26 I-Worm/Nuwar.V 1.773
BitDefender 7.81008.2389934 7.22800 2008-12-27 Trojan.Peed.JPS 2.218
Dr.Web 4.44.0.9170 2008.12.27 2008-12-27 Trojan.Packed.555 3.788
ewido 4.0.0.2 2008.12.26 2008-12-26 - 3.629
Ikarus T3.1.01.45 2008.12.27.72068 2008-12-27 Packed.Win32.Tibs 3.735
Microsoft 1.4205 2008.12.26 2008-12-26 Backdoor:Win32/Nuwar.E 5.152
Sophos 2.82.1 4.37 2008-12-27 Mal/Dorf-O 1.942
卡巴斯基 5.5.10 2008.12.27 2008-12-27 Packed.Win32.Tibs.kg 0.016
安博士V3 2008.12.28.00 2008.12.28 2008-12-28 Win-Trojan/Tibs.91648.M 1.009
安天 2.0.18 20081227.1928953 2008-12-27 Packed/Win32.Tibs.kg[:crypt] 0.119
江民杀毒 11.0.706 2008.12.21 2008-12-21 Trojan/Pakes.bac 1.378
熊猫卫士 9.05.01 2008.12.26 2008-12-26 Generic Malware 2.639
瑞星 20.0 21.09.51.00 2008-12-27 Trojan.DL.Win32.ZhelatinT.a 0.917
赛门铁克 1.3.0.24 20081226.002 2008-12-26 Trojan.Peacomm.D 0.085
趋势科技 8.700-1004 5.734.19 2008-12-26 TROJ_NUWAR.DDI 0.021
迈克菲 5.3.00 5475 2008-12-26 W32/Nuwar@MM 2.719
金山毒霸 2008.9.8.18 2008.12.26.20 2008-12-26 Win32.Troj.TibsT.gk.91648 0.566
Packed的N多,不是Packed的也N多带壳入库,貌似最近多层壳流行了,虚拟机壳流行了,代码混淆流行了,不知道以后还要流行什么,杀毒软件啊杀毒软件,都可以把自己的肚皮填的肥肥的了,样本多了有好处,病毒库大了就要xx了。。。。
又是和前段时间那个类似的木马变态壳所为,不知道是不是搞过木马彩衣之类的东东,壳的入口代码,还带导出函数玩的呢。
木马变态壳:
http://bbs.micropoint.com.cn/showthread.asp?tid=45455&fpage=2
引用:
004055C5 Packed_W.<ModuleEntryPoint> 55 push ebp
004055C6 8BEC mov ebp,esp
004055C8 51 push ecx
004055C9 53 push ebx
004055CA 56 push esi
004055CB 57 push edi
004055CC 0BD5 or edx,ebp
004055CE F7D9 neg ecx
004055D0 0BF2 or esi,edx
004055D2 85F9 test ecx,edi
004055D4 49 dec ecx
004055D5 6A 00 push 0
004055D7 FF15 04604000 call dword ptr ds:[<&KERNEL32.GetModule>; kernel32.GetModuleHandleW
004055DD 8945 FC mov dword ptr ss:[ebp-4],eax
004055E0 8BF7 mov esi,edi
004055E2 8BC9 mov ecx,ecx
004055E4 23DD and ebx,ebp
004055E6 0FBEDB movsx ebx,bl
004055E9 2BD5 sub edx,ebp
004055EB 8B35 00604000 mov esi,dword ptr ds:[<&KERNEL32.GetPro>; kernel32.GetProcAddress
004055F1 68 58604000 push Packed_W.00406058 ; ASCII "qazed"
004055F6 50 push eax
004055F7 FFD6 call esi
004055F9 8BD8 mov ebx,eax
004055FB 0FB6C2 movzx eax,dl
004055FE 0BC3 or eax,ebx
00405600 0FBECF movsx ecx,bh
00405603 F7DF neg edi
00405605 68 50604000 push Packed_W.00406050 ; ASCII "ewxcv"
0040560A FF75 FC push dword ptr ss:[ebp-4]
0040560D FFD6 call esi
0040560F 8945 FC mov dword ptr ss:[ebp-4],eax
00405612 F7D7 not edi
00405614 0FBEC4 movsx eax,ah
00405617 F7DE neg esi
00405619 0BC8 or ecx,eax
0040561B 33D3 xor edx,ebx
0040561D F7D8 neg eax
0040561F 0FBEC7 movsx eax,bh
00405622 0FB6D0 movzx edx,al
00405625 03F3 add esi,ebx
00405627 53 push ebx
00405628 FF55 FC call dword ptr ss:[ebp-4] //在这里跟进去,函数ewxcv
0040562B 59 pop ecx
0040562C 33F6 xor esi,esi
0040562E 0FB6FB movzx edi,bl
00405631 85FD test ebp,edi
00405633 F7DF neg edi
00405635 4A dec edx
00405636 49 dec ecx
00405637 85D0 test eax,edx
00405639 5F pop edi
0040563A 5E pop esi
0040563B 33C0 xor eax,eax
0040563D 5B pop ebx
0040563E C9 leave
0040563F C3 retn</CODE><CODE>004053F4 FF55 08 call dword ptr ss:[ebp+8] ; Packed_W.qazed //直接F8
004053F7 59 pop ecx
004053F8 F7D6 not esi
004053FA 8BCF mov ecx,edi
004053FC 48 dec eax
004053FD 23C0 and eax,eax
004053FF 0FB6DA movzx ebx,dl
00405402 3BCF cmp ecx,edi
00405404 41 inc ecx
00405405 2BCC sub ecx,esp
00405407 33DE xor ebx,esi
00405409 23D1 and edx,ecx
0040540B 0BDA or ebx,edx
0040540D 42 inc edx
0040540E 33D1 xor edx,ecx
00405410 F7D0 not eax
00405412 47 inc edi
00405413 3BF6 cmp esi,esi
00405415 8BF3 mov esi,ebx
00405417 03D0 add edx,eax
00405419 5F pop edi
0040541A 5E pop esi
0040541B 5B pop ebx
0040541C 5D pop ebp
0040541D - E9 461C0000 jmp Packed_W.00407068 //jmp过去
引用:
00407077 83EC 14 sub esp,14
0040707A 66:8378 38 00 cmp word ptr ds:[eax+38],0
0040707F 74 22 je short Packed_W.004070A3
00407081 56 push esi
00407082 8D4D EC lea ecx,dword ptr ss:[ebp-14]
00407085 E8 B0020000 call Packed_W.0040733A
0040708A 8D4D EC lea ecx,dword ptr ss:[ebp-14]
0040708D E8 81020000 call Packed_W.00407313 //跟进去
00407092 FFD0 call eax
00407094 8D4D EC lea ecx,dword ptr ss:[ebp-14]
00407097 8BF0 mov esi,eax
00407099 E8 09000000 call Packed_W.004070A7
0040709E 8BC6 mov eax,esi
004070A0 5E pop esi
004070A1 C9 leave
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
