反黑先锋
版主
RUNWAY
积分 2901
发帖 2857
注册 2006-6-17
|
#1 大家小心ARP蠕虫
win32k在病毒风向标的群里看到达发了N多的样本连接,又是pcibus.sys这个东东,近期怎么这么多呢?那会搭建LiveKD没空看,一会glacier_lk直接扔过来一个,开着微点OD分析,放出了那个pcibus.sys并打开svchost.exe注入的时候被微点挂了。
看着就不对劲,驱动怎么注入svchost.exe?扔进IDA看了一下是个exe文件,而且还是多层捆绑的,最少不下四个文件捆绑,还会搞出一大堆的病毒文件,至于哪个是释放哪个是拷贝就懒得去看了,用搞出代替,相关图片是这些文件(不包括被下载的,据说是会下载,没有看到相关特征,估计是他捆绑的那几位小毒所所为)
注册一个服务(未知没有去跟)遍历文件感染exe、com、html、htm、asp、php、jsp文件(方式是老方法了),感觉跳过了a盘,由于被捆绑的一个文件微点已知,无法OD跟了,关了微点又怕不小心把偶本本给废了 ,看看API得了,都是这样子,李俊的徒子徒孙
利用若口令创建一个局域网网络连接进行病毒传播后结束网络连接,SendARP进行ARP欺骗
push ebp
mov ebp, esp
sub esp, 14h
or eax, 0FFFFFFFFh
mov [ebp+pMacAddr], eax
mov [ebp+var_8], eax
mov [ebp+PhyAddrLen], 6
mov ecx, [ebp+DestIP]
mov [ebp+var_10], ecx
xor eax, eax
lea eax, [ebp+PhyAddrLen]
push eax ; PhyAddrLen
lea ecx, [ebp+pMacAddr]
push ecx ; pMacAddr
xor eax, eax
push eax ; SrcIP
mov edx, [ebp+DestIP]
push edx ; DestIP
call SendARP
cmp [ebp+PhyAddrLen], 6
jnz short loc_402B01
| |
※ ※ ※ 本文纯属【反黑先锋】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
|
荣先祥藏头诗《赞东方微点》
东风欣传好消息
方策独步世所稀
微妙玄机嵌主动
点睛灭毒堪神笔
 |
|
|
