欢迎来到天天文库
浏览记录
ID:10992167
大小:59.50 KB
页数:4页
时间:2018-07-09
《一个映像劫持病毒,技术含量不浅oso.exe》由会员上传分享,免费在线阅读,更多相关内容在工程资料-天天文库。
1、一个映像劫持病毒,技术含量不浅OSO.EXE~教育资源库 第一部分:案例分析 echooff//关闭命令回显 echo此批处理只作技巧介绍,请勿用于非法活动!by:风中之渡//显示echo后的文字 pause//停止 echoACHINESOFTicrosoft.reg中 regedit/sssm.regdel/qssm.reg//导入ssm.reg并删除 相信有不少人见过这样一个批处理吧,当时由风中之渡编写的这个批处理是寒冰第一次跟映像劫持的亲密接触,该批处理用的是使用映像劫持结束SSM的进程,结果奏效了,当然新版本的SSM已经加了了该注册表的保护,已经失效了,可是,从中我
2、们可以得到一个思路,是不是也可以用来对付病毒? 由此我们可以得出一个杀掉病毒进程厉害的方法,如果在该批处理中改成了病毒的进程,比如威金,自然就是把Debugger=syssafe.EXE改为Debugger=logo_1.exe,这样,病毒就运行不了了。也许就会出现这样一个出错的画面了: 其实说起映像劫持,具体技术含义寒冰知识也有限,无法理解,不过按照寒冰的理解,就是当系统执行某一个文件时,被映像劫持的系统会自动跳转到另一个程序去,而如果映像为空,也就是没有设置另一个程序,自然,就出现上面的错误提示了,比如: HKEY_LOCAL_MACHINESOFTicrosoftACHIN
3、ESOFTicrosoftD5:2391109c40ccb0f982b86af86cfbc900 加壳方式:FSG2.0 编写语言:Delphi 传播方式:通过移动介质或网页恶意脚本传播 病毒分析: 经虚拟机中运行,与1234下一页友情提醒:,特别!脱壳后OD分析结合,其行为如下: 创建文件: %systemroot%system32gfosdg.exe %systemroot%system32gfosdg.dll %systemroot%system32severe.exe %systemroot%system32driversmpnxyl.exe %systemr
4、oot%system32driversconime.exe %systemroot%system32hx1.bat %systemroot%system32noruns.reg X:OSO.exe X:autorun.inf X指非系统盘符 %systemroot%是环境变量,对于装在C盘的on RsCCenter 其中,在结束瑞星服务的过程中,由于瑞星会弹出提示,病毒作了相应处理: 用FindessageA函数向系统发送信息,相当于按下此按钮 禁止或结束以下进程运行,包括但不限于(略): 创建noruns.reg,并导入注册表,之后删除此文件。(跟之前的sxs病毒手
5、法类似)导入内容: [HKEY_CURRENT_USERSoftouse_event控制鼠标自动选择允许修改。 访问注册表 [HKEY_LOCAL_MACHINEsofticrosoftageFileExecutionOptions] 创建以安全软件程序名为名的子项 子项中创建子键 Debugger=C:ACHINESOFTicrosoft32driversmpnxyl.exe autoruns的日志中可以清楚地看到这些项目,以及遭到这种手法蹂躏的程序: 删除卡卡助手的dll文件kakatool.dll(的确这么做了,虚拟机运行的结果和程序代码里的内容相映证) 为了堵死中
6、毒者的后路,又采取了另一种卑劣的手法 修改hosts文件,屏蔽杀毒软件厂商的网站,卡卡社区有幸成为被屏蔽的其中一员: 这是后来用SREng看到的结果,在程序代码里也有相应内容: 127.0.0.1mmsk. 127.0.0.1ikaka. 127.0.0.1safe.. 127.0.0.1360safe. 127.0.0.1.mmsk. 127.0.0.1.ikaka.上一页1234下一页友情提醒:,特别! 127.0.0.1tool.ikaka. 127.0.0.1.360safe. 127.0.0.1zs.kingsoft. 127.0.0.1forum.ika
7、ka. 127.0.0.1up.rising.. 127.0.0.1scan.kingsoft. 127.0.0.1kvup.jiangmin. 127.0.0.1reg.rising.. 127.0.0.1update.rising.. 127.0.0.1update7.jiangmin. 127.0.0.1doand=OSO.exe 如果你要从右键菜单来判别,很不幸,右键菜单完全看不出异常,无论你是双
此文档下载收益归作者所有