标题:
未知壳后门病毒作者处心积虑 可惜还是过不了微点
[打印本页]
作者:
点饭的百度空间
时间:
2008-12-30 01:08
标题:
未知壳后门病毒作者处心积虑 可惜还是过不了微点
平不孤独
2008-12-28 20:43
Online report :
http://virscan.org/report/9c793d9dfeac9e8eccb5d79cf2833a05.html
引用:
00412EC3 kaba.<ModuleEntryPoint> 6A 0C push 0C
00412EC5 68 61060000 push 661
00412ECA E8 00000000 call kaba.00412ECF
00412ECF 58 pop eax
00412ED0 58 pop eax
00412ED1 58 pop eax
00412ED2 60 pushad
00412ED3 E8 00000000 call kaba.00412ED8
很简单的壳,省略一部分,如果杀毒软件还脱不了壳也找不到壳特征,可以参考上面19个字节,这东西报壳真的太没水准了!。。。
00412FFC 40 inc eax
00412FFD 8038 00 cmp byte ptr ds:[eax],0
00413000 ^ 75 FA jnz short kaba.00412FFC
00413002 40 inc eax
00413003 8985 58040000 mov dword ptr ss:[ebp+458],eax
00413009 66:8178 02 0080 cmp word ptr ds:[eax+2],8000
0041300F ^ 74 A5 je short kaba.00412FB6
00413011 8038 00 cmp byte ptr ds:[eax],0
00413014 ^ 75 A0 jnz short kaba.00412FB6
00413016 EB 01 jmp short kaba.00413019
00413018 46 inc esi
00413019 803E 00 cmp byte ptr ds:[esi],0
0041301C ^ 75 FA jnz short kaba.00413018
0041301E 46 inc esi
0041301F 40 inc eax
00413020 8B38 mov edi,dword ptr ds:[eax]
00413022 03BD 3C040000 add edi,dword ptr ss:[ebp+43C]
00413028 83C0 04 add eax,4
0041302B 8985 58040000 mov dword ptr ss:[ebp+458],eax
00413031 803E 01 cmp byte ptr ds:[esi],1
00413034 ^ 0F85 63FFFFFF jnz kaba.00412F9D
0041303A 68 00400000 push 4000
0041303F 68 26050000 push 526
00413044 FFB5 5C040000 push dword ptr ss:[ebp+45C]
0041304A FF95 D5030000 call dword ptr ss:[ebp+3D5]
00413050 E8 3D000000 call kaba.00413092
00413055 E8 24010000 call kaba.0041317E
0041305A 61 popad
0041305B - E9 5433FFFF jmp kaba.004063B4 ; //
直接F4到这里就是OEP
00413060 61 popad
00413061 C3 retn
该后门以前看到过,也测试过,之前mp处理没有问题,可能作者处心积虑过mp,处理了但还存在不足之处,图片很清楚,思路就不写了。。。。等待mp解决吧。。。。。
[
Last edited by 点饭的百度空间 on 2008-12-30 at 11:09
]
作者:
Legend
时间:
2008-12-30 01:10
希望您能协助我们,将此样本程序压缩后,发送到
support@micropoint.com.cn
让我们测试分析一下,谢谢。
作者:
wsmurderer
时间:
2008-12-30 11:07
过了微点,过不了红伞:P:cool:
作者:
点饭的百度空间
时间:
2008-12-30 11:09
Quote:
Originally posted by
wsmurderer
at 2008-12-30 11:07:
过了微点,过不了红伞:P:cool:
这个后门没有过微点 楼上有图
作者:
wsmurderer
时间:
2008-12-30 11:24
不好意思,看错了,我还以为过了微点:lol:
欢迎光临 微点交流论坛 (http://bbs.micropoint.com.cn/)
bbs.micropoint.com.cn
