【文章标题】: 简单病毒RavMon.exe的分析
【文章作者】: petnt
【作者邮箱】: petnt@sohu.com
【作者声明】: 只是感兴趣,没有其他目的。失误之处敬请诸位大侠赐教!
--------------------------------------------------------------------------------
【详细过程】
爱机裸奔数月,终于不幸中招。没想到第一次就碰上个软柿子,是菜菜们很好的试练品,嘿嘿,解剖一下供大家分享。
病毒主要文件为RavMon.exe,AutoRun.inf、SVCHOST.EXE、SVCHOST.INI、MDM.exe文件均可由其生成。系统感染病毒后,会在本地磁盘和可移动磁盘中根目录下生成RavMon.exe、AutoRun.inf两个文件。Windows目录下生成SVCHOST.EXE、SVCHOST.INI、MDM.exe三个文件。
病毒运行会创建一个隐藏窗口,进程名为SVCHOST.EXE(RvaMon.exe的复制品,仅文件名不同),MDM.exe会在病毒运行中释放出来,主要用于修改注册表使病毒自运行。
在病毒体窗口事件中,主要处理了3个事件:WM_CREATE,WM_TIMER,WM_DEVICECHANGE。
- 在WM_CREATE事件过程中,主要创建了两个定时器,并更改注册表隐藏文件。
- 定时器1(30秒触发一次)用来感染本地磁盘和可移动磁盘。
- 定时器2(5分钟触发一次)用来联网,下木马并运行木马。(猜测是下木马并设置木马自运行,因为病毒比较老,网已经联不通了)
- 在WM_DEVICECHANGE事件过程中,主要是用来感染可移动磁盘。
msgyn "确定要运行本脚本吗?"
cmp $RESULT,1
jne @end
bp 00414202
esto
bp 004038bb
bc 00414202
esto
bp 00403a41
cmt 00403a41,"关键CALL"
bp 00403a00
lbl 00403390,"strncpy"
lbl 00403360,"strrchr"
lbl 004032a0,"strchr"
lbl 00402370,"修改注册表,隐藏文件"
bp 00401700
lbl 004030d0,"计算文件MD5值"
cmt 00401700,"运行的是否是系统目录里的svchost"
bp 00401935
bp 0040186a
cmt 0040186a,"如果发现已经运行了窗口则跳走"
bp 00401042
bp 0040105d
cmt 0040188e,"根据时间产生随机字串"
cmt 0040105d,"获取网络地址"
bp 00401042// WM_CREATE处理函数
bp 0040109e//WM_TIMER处理函数
bp 00401521//WM_DEVICECHANG消息处理函数
cmt 0040106c,"文件的MD5值校验"
cmt 00401099,"注册表设置"
cmt 004010ad,"以下代码为计时器2的过程(5分钟)"
cmt 004010a6,"跳到计时器1的过程(30秒)"
cmt 0040145e,"c:\windows\mdm.exe MD5"
bp 004013c8
bp 00401150
lbl 00401150,"联网,下木马"
cmt 004013c8,"比较磁盘根目录下的ravmon.exe antorun.inf的MD5值,都相符返回真"
cmt 004013d2,"相符则跳走"
cmt 004013da,"复制自身,重写autorun.inf到相应根目录"
cmt 00401468,"MDM.EXE不存在则跳走"
cmt 004014a2,"MDM.EXE MD5值符合则跳走"
cmt 004014ac,"重新复制MDM.EXE"
cmt 004014bc,"检查注册表是否已经设置MDM.EXE自运行"
cmt 00401588,"感染磁盘"
pause
bc 00401150
bc 004013c8
bc 0040186a
bc 004038bb
bc 00403a41
bc 00401700
bc 00401935
bc 00401042
bc 0040105d
bc 00401042
bc 0040109e
bc 00401521
bc 00403a00
@end:
ret
附件解压密码:pediy
--------------------------------------------------------------------------------
【版权声明】: 本文原创于看雪技术论坛, 转载请注明作者并保持文章的完整, 谢谢!
2008年11月08日 20:22:52