Virus.Win32.Downloader.m
Virus.Win32.Downloader.m多变感染样本的分析与修复工具
Virus.Win32.Downloader.m.zip
下载: http://www.youswap.com/index.php?download_id=d52c106e-cd69-102a-a8a3-0030488882b4
zip(密码)(password): http://hi.baidu.com/503165656
=====================================
Virus.Win32.Downloader.m样本是多.变的, 入口没有加密,只是感染节的文件偏移多变,加上我用2个不同版本的exe分析,没有运行修复后的sss.exe( :( )
--------只是感染节的文件偏移多变-------
4 .+% 00046000 0000084B 0000A000 0000084B E00000E0
4 .+% 00207000 0000084B 00063A00 0000084B E00000E0
5 .+% 0001A000 0000084B 00013600 0000084B E00000E0
---
实际改下子程序就能修复了!
请升级 凝逸反毒,凝逸修复引擎C001.1.2版能修复多变种的Virus.Win32.Downloader.m了
下载凝逸反毒 http://503165656.googlegroups.com/web/n1.htm
--
感染文件sss.exe nyfd.exe 为易语言写的,要运行,到 http://503165656.googlegroups.com/web/n1.htm 写个完全版本,放入就能运行
=====================================
=================
---------------
在变种的.感染分析中:
MicrosoftCTO(6108661)与阿虎(48993263)给予不少帮助
転生の炎(2605522)提供感染的exe
谢谢!
---
MicrosoftCTO(6108661)与阿虎(48993263)的分析与我的分析大体一样, 他们还把病毒的更新文件地址,提取出来,强人!
(阿虎的分析 http://hi.baidu.com/xdct/blog/item/65edcadcec34dea2cc11666c.html)
---
006075DF C785 38FFFFFF 68740000 mov dword ptr ss:[ebp-C8],7468 ;这些字符.就是病毒的更新文件地址http://www.we168.org/Data/a.txt
---------------
=======================
-----------------------
sss.exe感染
========PE格.式分析==========
文件头分析【PE Headers】
文件格式 :unknown signature, probably MS-DOS
DOS_HEADER 文件头长度 :176
文件运行.所要求的CPU :Intel 80386 处理器或更高
节数目 :4
文件创建的时间 :2000年5月19日10时11分55秒
OptionalHeader 结构大小 :E0
文件信息的标记 :10F
标志字 :10B
连接器版本号 :4.0
代码段长度 :0
已初始化数据块大小 :9D57
未初始化数据块大小 :39000
★程序入口 [EntryCodeData]:00046441
代码段起始 [BaseOfCode]:00001000
数据库段起始 [BaseOfData]:0003A000
★优先装载地址 [ImageBase]:00400000
内存中节对齐粒度 :1000
文件中节对齐粒度 :200
系统所需版本号 :4.0
自定义版本号 :1.0
子系统所需版本号 :4.0
内存中PE映像体的尺寸 :4684B
所有头+节表的大小 :400
校验和 :133AE
文件系统 :IMAGE_SUBSYSTEM_WINDOWS_GUI
DLL特性 :0
保留栈的大小 :100000
初始时指定栈大小 :1000
保留堆的大小 :100000
指定堆大小 :1000
加载器标志 :0
Rva数和大小 :10
分析.节表【Section Table】
序号 名称 代码地址 代码长度 文件偏移 文件长度 内存属性
1 00001000 00039000 00000400 00000000 E0000060
2 0003A000 00009D57 00000400 00008A00 E0000060
3 00044000 0000115C 00008E00 00001200 E0000060
4 .+% 00046000 0000084B 0000A000 0000084B E00000E0
-------------------
---------------------------
nyfd.exe感染
========PE格式分析==========
文件头分析【PE Headers】
文件格式 :unknown signature, probably MS-DOS
DOS_HEADER 文件头长度 :176
文件运行所要求的CPU :Intel 80386 处理器或更高
节数目 :4
文件创建的时间 :2000年5月19日10时11分55秒
OptionalHeader 结构大小 :E0
文件信息.的标记 :10F
标志字 :10B
连接器版本号 :4.0
代码段长度 :0
已初始化数据块大小 :636F4
未初始化数据块大小 :1A0000
★程序入口 [EntryCodeData]:00207441
代码段起始 [BaseOfCode]:00001000
数据库段起始 [BaseOfData]:001A1000
★优先装载地址 [ImageBase]:00400000
内存中节对齐粒度 :1000
文件中节对齐粒度 :200
系统所需版本号 :4.0
自定义版本号 :1.0
子系统所需版本号 :4.0
内存中PE映像体的尺寸 :20784B
所有头+节表的大小 :400
校验和 :70B81
文件系统 :IMAGE_SUBSYSTEM_WINDOWS_GUI
DLL特性 :0
保留栈的大小 :100000
初始时指定栈大小 :1000
保留堆的大小 :100000
指定堆大小 :1000
加载器标志 :0
Rva数和大小 :10
分析.节表【Section Table】
序号 名称 代码地址 代码长度 文件偏移 文件长度 内存属性
1 00001000 001A0000 00000400 00000000 E0000060
2 001A1000 000636F4 00000400 00062400 E0000060
3 00205000 00001104 00062800 00001200 E0000060
4 .+% 00207000 0000084B 00063A00 0000084B E00000E0
--------------------------------
extract.exe感染
========PE格式分析==========
文件头分析【PE Headers】
文件格式 :unknown signature, probably MS-DOS
DOS_HEADER 文件头长度 :216
文件运行.所要求的CPU :Intel 80386 处理器或更高
节数目 :5
文件创建的时间 :2001年8月17日20时53分16秒
OptionalHeader 结构大小 :E0
文件信息的标记 :10F
标志字 :10B
连接器版本号 :7.0
代码段长度 :12000
已初.始化数据块大小 :5000
未初始化数据块大小 :0
★程序入口 [EntryCodeData]:0001A441
代码段起始 [BaseOfCode]:00001000
数据库段起始 [BaseOfData]:00013000
★优先装载地址 [ImageBase]:01000000
内存中节对齐粒度 :1000
文件中节对齐粒度 :200
系统所需版本号 :5.1
自定义版本号 :5.1
子系统所需版本号 :4.0
内存中PE映像体的尺寸 :1A84B
所有头+节表的大小 :400
校验和 :22ECB
文件系统 :IMAGE_SUBSYSTEM_WINDOWS_CUI
DLL特性 :FFFF8000
保留栈的大小 :40000
初始时.指定栈大小 :1000
保留堆的大小 :100000
指定堆大小 :1000
加载器标志 :0
Rva数和大小 :10
分析节表【Section Table】
序号 名称 代码地址 代码长度 文件偏移 文件长度 内存属性
1 .text 00001000 00011F7C 00000400 00012000 E0000020
2 .data 00013000 00004A44 00012400 00000E00 C0000040
3 .rsrc 00018000 00000400 00013200 00000400 40000040
4 .wtq 00019000 00000001 00013600 00000000 E0000020
5 .+% 0001A000 0000084B 00013600 0000084B E00000E0
-------------------------------------