微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 好玩的一个程序,惊喜喔  

作者:
标题: 好玩的一个程序,惊喜喔
青帝
新手上路





积分 2
发帖 2
注册 2008-1-3
#1  好玩的一个程序,惊喜喔

好玩的一个程序,惊喜喔

刚安装XX360什么卫士,删除后发现在
C:\DOCUME~1\Admin\LOCALS~1\Temp\~nsu.tmp\
下有个Au_.exe的卸载程序未删除,纳闷之下运行了下,微点没有任何反应

然后突然发现在这个目录下有多了个Bu_.exe,连大小和MD5估计都和Au_.exe一样,大概是检测A没有就生成A,检测B,没有就生成B之类的东西,是XX360自己带的

好奇之下调试了下,查壳:无壳

发现如下:
004034CC  |.  BE 00F14100   MOV ESI,Au_.0041F100                     ;  ASCII "C:\DOCUME~1\Admin\LOCALS~1

\Temp\~nsu.tmp\Au_.exe"
004034D1  |>  A1 4C3F4200   /MOV EAX,DWORD PTR DS:[423F4C]
004034D6  |.  FFB0 20010000 |PUSH DWORD PTR DS:[EAX+120]             ; /Arg2
004034DC  |.  56            |PUSH ESI                                ; |Arg1
004034DD  |.  E8 AE250000   |CALL Au_.00405A90                       ; \Au_.00405A90
004034E2  |.  56            |PUSH ESI                                ; /FileName
004034E3  |.  FF15 44714000 |CALL DWORD PTR DS:[<&KERNEL32.DeleteFil>; \DeleteFileA
004034E9  |.  395C24 10     |CMP DWORD PTR SS:[ESP+10],EBX
004034ED  |.  74 3F         |JE SHORT Au_.0040352E
004034EF  |.  6A 01         |PUSH 1                                  ; /FailIfExists = TRUE
004034F1  |.  56            |PUSH ESI                                ; |NewFileName
004034F2  |.  68 00BC4200   |PUSH Au_.0042BC00                       ; |ExistingFileName = "C:\Documents and Settings\Admin\

桌面\Au_.exe"
004034F7  |.  FF15 A0704000 |CALL DWORD PTR DS:[<&KERNEL32.CopyFileA>; \CopyFileA
004034FD  |.  85C0          |TEST EAX,EAX
004034FF  |.  74 2D         |JE SHORT Au_.0040352E
00403501  |.  53            |PUSH EBX
00403502  |.  56            |PUSH ESI
00403503  |.  E8 B4220000   |CALL Au_.004057BC
00403508  |.  A1 4C3F4200   |MOV EAX,DWORD PTR DS:[423F4C]
0040350D  |.  FFB0 24010000 |PUSH DWORD PTR DS:[EAX+124]             ; /Arg2
00403513  |.  56            |PUSH ESI                                ; |Arg1
00403514  |.  E8 77250000   |CALL Au_.00405A90                       ; \Au_.00405A90
00403519  |.  56            |PUSH ESI                                ; /Arg1
0040351A  |.  E8 BC1D0000   |CALL Au_.004052DB                       ; \Au_.004052DB
0040351F  |.  3BC3          |CMP EAX,EBX
00403521  |.  74 0B         |JE SHORT Au_.0040352E
00403523  |.  50            |PUSH EAX                                ; /hObject
00403524  |.  FF15 EC704000 |CALL DWORD PTR DS:[<&KERNEL32.CloseHand>; \CloseHandle
0040352A  |.  895C24 10     |MOV DWORD PTR SS:[ESP+10],EBX
0040352E  |>  FE05 00544200 |INC BYTE PTR DS:[425400]
00403534  |.  4F            |DEC EDI
00403535  |.^ 75 9A         \JNZ SHORT Au_.004034D1

004034CC  |.  BE 00F14100   MOV ESI,Bu_.0041F100                     ;  ASCII "C:\DOCUME~1\Admin\LOCALS~1

\Temp\~nsu.tmp\Au_.exe"
004034D1  |>  A1 4C3F4200   /MOV EAX,DWORD PTR DS:[423F4C]
004034D6  |.  FFB0 20010000 |PUSH DWORD PTR DS:[EAX+120]             ; /Arg2
004034DC  |.  56            |PUSH ESI                                ; |Arg1
004034DD  |.  E8 AE250000   |CALL Bu_.00405A90                       ; \Bu_.00405A90
004034E2  |.  56            |PUSH ESI                                ; /FileName
004034E3  |.  FF15 44714000 |CALL DWORD PTR DS:[<&KERNEL32.DeleteFil>; \DeleteFileA
004034E9  |.  395C24 10     |CMP DWORD PTR SS:[ESP+10],EBX
004034ED  |.  74 3F         |JE SHORT Bu_.0040352E
004034EF  |.  6A 01         |PUSH 1                                  ; /FailIfExists = TRUE
004034F1  |.  56            |PUSH ESI                                ; |NewFileName
004034F2  |.  68 00BC4200   |PUSH Bu_.0042BC00                       ; |ExistingFileName = "C:\Documents and Settings\Admin\

桌面\Bu_.exe"
004034F7  |.  FF15 A0704000 |CALL DWORD PTR DS:[<&KERNEL32.CopyFileA>; \CopyFileA
004034FD  |.  85C0          |TEST EAX,EAX
004034FF  |.  74 2D         |JE SHORT Bu_.0040352E
00403501  |.  53            |PUSH EBX
00403502  |.  56            |PUSH ESI
00403503  |.  E8 B4220000   |CALL Bu_.004057BC
00403508  |.  A1 4C3F4200   |MOV EAX,DWORD PTR DS:[423F4C]
0040350D  |.  FFB0 24010000 |PUSH DWORD PTR DS:[EAX+124]             ; /Arg2
00403513  |.  56            |PUSH ESI                                ; |Arg1
00403514  |.  E8 77250000   |CALL Bu_.00405A90                       ; \Bu_.00405A90
00403519  |.  56            |PUSH ESI                                ; /Arg1
0040351A  |.  E8 BC1D0000   |CALL Bu_.004052DB                       ; \Bu_.004052DB
0040351F  |.  3BC3          |CMP EAX,EBX
00403521  |.  74 0B         |JE SHORT Bu_.0040352E
00403523  |.  50            |PUSH EAX                                ; /hObject
00403524  |.  FF15 EC704000 |CALL DWORD PTR DS:[<&KERNEL32.CloseHand>; \CloseHandle
0040352A  |.  895C24 10     |MOV DWORD PTR SS:[ESP+10],EBX
0040352E  |>  FE05 00544200 |INC BYTE PTR DS:[425400]
00403534  |.  4F            |DEC EDI
00403535  |.^ 75 9A         \JNZ SHORT Bu_.004034D1

这回在004034F7  |.  FF15 A0704000 |CALL DWORD PTR DS:[<&KERNEL32.CopyFileA>; \CopyFileA
这行执行后,便出现了微点报警了,发现病毒衍生物之类的,提示删除

纳闷,那么刚才执行目标程序时候都没有任何反应,大家看看截图,好奇而已不要见怪

微点果然是个猛家伙,360什么的连自己都做这类恶搞程序,删除时候主动连接124.238.254.48(河北)这个地址,估计要搞什么调查或者收集信息之类的事情了

通过这件事情,我明白了什么都要动手试验下才知道......为什么微点起先没有任何反应,调试时候又发现目标程序为病毒衍生物?

奇怪之极

给微点的又一个建议:加强主动发现的能力,比方说我解开RAR压缩包的时候就发现病毒,不要非得运行起来,如NOD32那样的启发扫描......将隐患隔绝在执行之前,我试验了威金等病毒包,解压到当前目录下后都没有自动发现,非要执行才弹出提示......如果采用双击压缩包,再选择解压的话是可以拦截的,美中不足啊

[ Last edited by 青帝 on 2008-1-3 at 17:51 ]

附件 1: 1.JPG (2008-1-3 17:41, 23.53 K,下载次数: 29)


附件 2: 2.JPG (2008-1-3 17:41, 14.79 K,下载次数: 42)


附件 3: 3.JPG (2008-1-3 17:42, 14.13 K,下载次数: 66)


附件 4: 4.JPG (2008-1-3 17:42, 18.75 K,下载次数: 48)


※ ※ ※ 本文纯属【青帝】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-1-3 17:41
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#2  

谢谢楼主的反馈和建议,您可以把您的这个程序样本压缩加密连同微点软件辅助功能-生成技术支持信息导出复制到桌面压缩发到virus@micropoint.com.cn我们具体分析下。
随信请注明您的具体情况,发送完请把您的邮箱地址用论坛短消息发给我,方便对您的问题的跟踪处理。

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2008-1-3 18:34
查看资料  发短消息   编辑帖子
494547580
新手上路





积分 4
发帖 4
注册 2008-1-4
#3  

给微点的又一个建议:加强主动发现的能力,比方说我解开RAR压缩包的时候就发现病毒,不要非得运行起来,如NOD32那样的启发扫描......将隐患隔绝在执行之前,我试验了威金等病毒包,解压到当前目录下后都没有自动发现,非要执行才弹出提示......如果采用双击压缩包,再选择解压的话是可以拦截的,美中不足啊
   我同意这个观点.不然等解包出来了才知道有病毒,那不是完蛋了吗 可以杀不怕就怕遇见一些牛的病毒木马..又得头头痛了..特别是菜鸟(我是也)

※ ※ ※ 本文纯属【494547580】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-1-4 16:07
查看资料  发送邮件  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#4  



  Quote:
Originally posted by 494547580 at 2008-1-4 16:07:
给微点的又一个建议:加强主动发现的能力,比方说我解开RAR压缩包的时候就发现病毒,不要非得运行起来,如NOD32那样的启发扫描......将隐患隔绝在执行之前,我试验了威金等病毒包,解压到当前目录下后都没有自动发现,非 ...

微点是根据病毒行为进行杀毒的,以特征码扫描为辅,在您解压文件时如果已知特征库扫描没有发现,会根据病毒行为进行分析。如果楼上发现有微点无法处理的病毒,请直接发送到我们virus@micropoint.com.cn 邮箱,我们好及时分析解决,谢谢

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2008-1-4 16:18
查看资料  发短消息   编辑帖子
tan88
注册用户





积分 53
发帖 53
注册 2007-12-18
#5  

我不太懂,不过自从用了微点后就没中过招,还是要感谢微点.

※ ※ ※ 本文纯属【tan88】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-1-4 19:28
查看资料  发送邮件  发短消息   编辑帖子
bigpoint
注册用户




积分 181
发帖 181
注册 2007-11-2
#6  

有能力的帮微点完善,吾等菜鸟只有旁观的份了        

※ ※ ※ 本文纯属【bigpoint】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

[align=center][color=blue]big[/color][size=7]p[color=red]O[/color]int[/size][/align]
2008-1-4 19:46
查看资料  发短消息   编辑帖子
meieg
注册用户




积分 93
发帖 93
注册 2007-7-31
来自 湖南怀化
#7  

呵呵 装了微点的其实大可不必担心电脑会中毒~~微点是很负责的噢!!

※ ※ ※ 本文纯属【meieg】个人意见,与【 微点交流论坛 】立场无关※ ※ ※

[color=red][size=6]天使之所以会飞,是因为她们把自己看得很轻……[/size][/color]
2008-1-4 21:23
查看资料  发送邮件  发短消息  QQ   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#8  

由于没有收到楼主进一步的反馈信息,本主题暂作关闭处理,如有问题,请另开新帖讨论

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2008-1-7 11:15
查看资料  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号