微点交流论坛
» 游客:  注册 | 登录 | 帮助

 微点交流论坛 » 主动防御 » 穿还原 到处乱插  

作者:
标题: 穿还原 到处乱插
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#1  穿还原 到处乱插

这毒蛮强的说,不仅穿了好多还原,还给explorer插了点另类进去,这样的毒越来越多了,貌似见过好几个类似的样本,插svchost的、services的、explorer的、都太野蛮了,太野蛮了

PAGE:000107E5
PAGE:000107E5 loc_107E5:                              ; CODE XREF: sub_10726+B1 j
PAGE:000107E5                 mov     eax, [ebp+var_20]
PAGE:000107E8                 inc     eax
PAGE:000107E9                 push    eax             ; size_t
PAGE:000107EA                 push    [ebp+arg_0]     ; void *
PAGE:000107ED                 add     esi, edi
PAGE:000107EF                 push    esi             ; void *
PAGE:000107F0                 call    memcpy
PAGE:000107F5                 add     esp, 0Ch
PAGE:000107F8                 lea     eax, [ebp+var_38]
PAGE:000107FB                 push    eax
PAGE:000107FC                 call    KeUnstackDetachProcess
PAGE:00010802                 push    ebx
PAGE:00010803                 push    1
PAGE:00010805                 push    edi
PAGE:00010806                 push    ebx
PAGE:00010807                 push    offset sub_10680
PAGE:0001080C                 push    ebx
PAGE:0001080D                 mov     esi, [ebp+arg_4]
PAGE:00010810                 push    esi
PAGE:00010811                 push    [ebp+P]
PAGE:00010814                 call    KeInitializeApc
PAGE:0001081A                 push    ebx
PAGE:0001081B                 push    ebx
PAGE:0001081C                 push    ebx
PAGE:0001081D                 push    [ebp+P]
PAGE:00010820                 call    KeInsertQueueApc
PAGE:00010826                 test    al, al
PAGE:00010828                 jnz     short loc_1084E
PAGE:0001082A                 push    MemoryDescriptorList ; MemoryDescriptorList
PAGE:00010830                 call    MmUnlockPages
PAGE:00010836
PAGE:00010836 loc_10836:                              ; CODE XREF: sub_10726+BD j
PAGE:00010836                 push    MemoryDescriptorList ; Mdl
PAGE:0001083C                 call    IoFreeMdl
PAGE:00010842                 push    ebx             ; Tag
PAGE:00010843                 push    [ebp+P]         ; P
PAGE:00010846                 call    ExFreePoolWithTag
PAGE:0001084C                 jmp     short loc_1087D

仗着胆子和微点用本本直接跑,KK如图:





驱动要重启后才可以卸载



BY:unknown tycoon



※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-1-30 14:25
查看资料  发送邮件  访问主页  发短消息   编辑帖子
Legend
超级版主

超级版主



积分 77171
发帖 70170
注册 2005-10-29
#2  

请楼主将此样本发送到我们virus@micropoint.com.cn 邮箱,随信请附带此贴链接,谢谢。

您发送完后,请通过论坛短消息将您的邮箱地址发给我,也请附带此贴链接

※文章所有权归【Legend】与【东方微点论坛】共同所有,转载请注明出处!※

微点官方认证新浪微博:欢迎进入 微点新浪微博
微点技术支持邮箱: support@micropoint.com.cn
给Legend发短消息
2008-1-30 14:50
查看资料  发短消息   编辑帖子
点饭的百度空间
银牌会员




积分 2315
发帖 2236
注册 2007-11-30
#3  

汗 我没有样本  样本微点反病毒应该已有

※ ※ ※ 本文纯属【点饭的百度空间】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-1-30 18:39
查看资料  发送邮件  访问主页  发短消息   编辑帖子
jimice
新手上路





积分 29
发帖 29
注册 2007-7-12
#4  

好厉害的毒,以后的毒也会越来越厉害的!

※ ※ ※ 本文纯属【jimice】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-2-3 11:13
查看资料  发送邮件  发短消息   编辑帖子
yiyefuwei
注册用户





积分 195
发帖 188
注册 2007-4-20
#5  

不算新的东西了~~这些

※ ※ ※ 本文纯属【yiyefuwei】个人意见,与【 微点交流论坛 】立场无关※ ※ ※
2008-2-3 14:49
查看资料  发送邮件  发短消息   编辑帖子



论坛跳转:

可打印版本 | 推荐 | 订阅 | 收藏


[ 联系我们 - 东方微点 ]

北京东方微点信息技术有限责任公司 福建东方微点信息安全有限责任公司

闽ICP备05030815号