微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 未知壳后门病毒作者处心积虑 可惜还是过不了微点  

作者:
标题: 未知壳后门病毒作者处心积虑 可惜还是过不了微点
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#1  未知壳后门病毒作者处心积虑 可惜还是过不了微点

平不孤独
2008-12-28 20:43

Online report   : http://virscan.org/report/9c793d9dfeac9e8eccb5d79cf2833a05.html

引用:

00412EC3 kaba.<ModuleEntryPoint>              6A 0C                            push 0C
00412EC5                                      68 61060000                      push 661
00412ECA                                      E8 00000000                      call kaba.00412ECF
00412ECF                                      58                               pop eax
00412ED0                                      58                               pop eax
00412ED1                                      58                               pop eax
00412ED2                                      60                               pushad
00412ED3                                      E8 00000000                      call kaba.00412ED8
很简单的壳,省略一部分,如果杀毒软件还脱不了壳也找不到壳特征,可以参考上面19个字节,这东西报壳真的太没水准了!。。。
00412FFC                                      40                               inc eax
00412FFD                                      8038 00                             cmp byte ptr ds:[eax],0
00413000                                  ^ 75 FA                            jnz short kaba.00412FFC
00413002                                      40                               inc eax
00413003                                      8985 58040000                       mov dword ptr ss:[ebp+458],eax
00413009                                      66:8178 02 0080                   cmp word ptr ds:[eax+2],8000
0041300F                                  ^ 74 A5                            je short kaba.00412FB6
00413011                                      8038 00                             cmp byte ptr ds:[eax],0
00413014                                  ^ 75 A0                            jnz short kaba.00412FB6
00413016                                      EB 01                            jmp short kaba.00413019
00413018                                      46                               inc esi
00413019                                      803E 00                             cmp byte ptr ds:[esi],0
0041301C                                  ^ 75 FA                            jnz short kaba.00413018
0041301E                                      46                               inc esi
0041301F                                      40                               inc eax
00413020                                      8B38                                mov edi,dword ptr ds:[eax]
00413022                                      03BD 3C040000                       add edi,dword ptr ss:[ebp+43C]
00413028                                      83C0 04                             add eax,4
0041302B                                      8985 58040000                       mov dword ptr ss:[ebp+458],eax
00413031                                      803E 01                             cmp byte ptr ds:[esi],1
00413034                                  ^ 0F85 63FFFFFF                       jnz kaba.00412F9D
0041303A                                      68 00400000                      push 4000
0041303F                                      68 26050000                      push 526
00413044                                      FFB5 5C040000                       push dword ptr ss:[ebp+45C]
0041304A                                      FF95 D5030000                       call dword ptr ss:[ebp+3D5]
00413050                                      E8 3D000000                      call kaba.00413092
00413055                                      E8 24010000                      call kaba.0041317E
0041305A                                      61                               popad
0041305B                                  - E9 5433FFFF                      jmp kaba.004063B4                ; //直接F4到这里就是OEP
00413060                                      61                               popad
00413061                                      C3                               retn


该后门以前看到过,也测试过,之前mp处理没有问题,可能作者处心积虑过mp,处理了但还存在不足之处,图片很清楚,思路就不写了。。。。等待mp解决吧。。。。。



[ Last edited by 点饭的百度空间 on 2008-12-30 at 11:09 ]

※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2008-12-30 01:08
查看资料  发送邮件  访问主页  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#2  

希望您能协助我们,将此样本程序压缩后,发送到support@micropoint.com.cn让我们测试分析一下,谢谢。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2008-12-30 01:10
查看资料  发短消息   编辑帖子
wsmurderer
高级用户





积分 676
发帖 668
注册 2008-11-21
#3  

过了微点,过不了红伞

※ ※ ※ 本文纯属【wsmurderer】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-12-30 11:07
查看资料  发送邮件  发短消息   编辑帖子
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#4  



  Quote:
Originally posted by wsmurderer at 2008-12-30 11:07:
过了微点,过不了红伞

这个后门没有过微点 楼上有图

※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

你的微笑 is 微点的骄傲!
http://hi.baidu.com/new/micropoint
2008-12-30 11:09
查看资料  发送邮件  访问主页  发短消息   编辑帖子
wsmurderer
高级用户





积分 676
发帖 668
注册 2008-11-21
#5  

不好意思,看错了,我还以为过了微点

※ ※ ※ 本文纯属【wsmurderer】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-12-30 11:24
查看资料  发送邮件  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号