Win32.Hack.Surila.k

Win32.Hack.Surila.k

這是一個危害較大、極難清除的惡意廣告軟體。該惡意軟體使用驅動技術感染winlogon.exe檔案,並以“流檔案”形式釋放一個dll檔案。通過被感染的winglogon.exe進程啟動該dll程式,該dll程式會下載安裝更多的惡意軟體

基本介紹

  • 中文名:Win32.Hack.Surila.k
  • 病毒類型黑客程式廣告軟體
  • 影響系統:Win9x / WinNT/Linux
  • 威脅級別:★★
病毒,修復,注,

病毒

處理時間:
中文名稱:

修復

Obsidium 1.0.0.61脫殼之引入表修復
1.下斷點VirtualAlloc+? (該殼有反調試功能,所以最好把斷點設API地址+幾個位元組的位置)
2.Ctrl+F9返回用戶進程,下硬體執行斷點到3A78A0
註:要得到上面3A78A0這個地址可以根據以下步驟得到:
A.在上次Dump出來的程式中找一個API調用如:
0A21398 movzx eax, [ebp+var_141],
iatRegio:00A2139F test eax, eax,
iatRegio:00A213A1 jz short loc_A213AB,
iatRegio:00A213A3 push 0,
iatRegio:00A213A5 call ds:dword_A64114(這裡就是一個API調用,從IDA里可以知道。A64114里存放的是一個地址,這個例子裡是3A8394)。
用OD下記憶體寫入斷點在3A8394處,F9執行,然後搜尋指令:test word ptr ds:[esi],20可以得到上面的地址
003A78A0 66:F706 2000 TEST WORD PTR DS:[ESI],20 把這裡的20改成3
003A78A5 74 46 JE SHORT 003A78ED
003A78A7 66:F706 0200 TEST WORD PTR DS:[ESI],2
003A78AC 75 1F JNZ SHORT 003A78CD
003A78AE 66:C706 0400 MOV WORD PTR DS:[ESI],4
003A78B3 8B45 14 MOV EAX,DWORD PTR SS:[EBP+14]
003A78B6 6A 01 PUSH 1
003A78B8 6A 00 PUSH 0
003A78BA FF76 04 PUSH DWORD PTR DS:[ESI+4]
003A78BD 6A 00 PUSH 0
003A78BF FF75 18 PUSH DWORD PTR SS:[EBP+18]
003A78C2 FF50 40 CALL DWORD PTR DS:[EAX+40]
003A78C5 85C0 TEST EAX,EAX
003A78C7 74 39 JE SHORT 003A7902
003A78C9 8907 MOV DWORD PTR DS:[EDI],EAX
003A78CB EB 20 JMP SHORT 003A78ED
003A78CD 66:C706 0400 MOV WORD PTR DS:[ESI],4
003A78D2 8B45 14 MOV EAX,DWORD PTR SS:[EBP+14]
003A78D5 0FB756 02MOVZXEDX,WORD PTR DS:[ESI+2]
003A78D9 6A 01 PUSH 1
003A78DB 52 PUSH EDX
003A78DC 6A 00 PUSH 0
003A78DE FF76 04 PUSH DWORD PTR DS:[ESI+4]
003A78E1 FF75 18 PUSH DWORD PTR SS:[EBP+18]
003A78E4 FF50 40 CALL DWORD PTR DS:[EAX+40]
003A78E7 85C0 TEST EAX,EAX
003A78E9 74 17 JE SHORT 003A7902 把這裡的指令NOP掉
003A78EB 8907 MOV DWORD PTR DS:[EDI],EAX
003A78ED 83C6 08 ADD ESI,8
003A78F0 83C7 04 ADD EDI,4
003A78F3 FF4D 08 DEC DWORD PTR SS:[EBP+8]
003A78F6 ^75 A8 JNZ SHORT 003A78A0
003A78F8 33C0 XOR EAX,EAX
003A78FA 40 INC EAX
003A78FB 5F POP EDI
003A78FC 5E POP ESI
003A78FD 5B POP EBX
003A78FE C9 LEAVE
003A78FF C2 1400 RETN 14
003A7902 33C0 XOR EAX,EAX
003A7904 5F POP EDI
003A7905 5E POP ESI
003A7906 5B POP EBX
003A7907 C9 LEAVE
003A7908 C2 1400 RETN 14
3.
003A778D FF4D FC DEC DWORD PTR SS:[EBP-4] 這裡為當前程式載入的DLL的個數
當[EBP-4]為0時表示所有的API已經處理完了
003A7790 EB 03 JMP SHORT 003A7795
003A7792 15 349A0F85 ADC EAX,850F9A34
003A7797 21FD AND EBP,EDI
003A7799 FFFF ??? ; 未知命令
003A779B EB 02 JMP SHORT 003A779F
003A779D BF FE33C0EB MOV EDI,EBC033FE
003A77A2 0226 ADD AH,BYTE PTR DS:[ESI]
003A77A4 04 5F ADD AL,5F
用F7再往下走幾步可以看到如上指令
003A7795 ^0F85 21FDFFFF JNZ 003A74BC 這裡跳往處理下一個DLL的API
003A779B EB 02 JMP SHORT 003A779F 所以在這裡下斷點,F9就可以了
003A779D BF FE33C0EB MOV EDI,EBC033FE
003A77A2 0226 ADD AH,BYTE PTR DS:[ESI]
003A77A4 04 5F ADD AL,5F
003A77A6 5E POP ESI
003A77A7 5B POP EBX
003A77A8 C9 LEAVE
003A77A9 C3 RETN
4.當所有的API處理完成後,把A64000起開始1000H數據複製出來
並貼到上次Dump出來的檔案的VA:A64000=OFFSET:51600處
5.最後用Import REConstructor修復
在RVA處填664000
點GetImport
剪掉幾個無效的涵數。KO。

因該殼采Stolen Coder技術(即把原程式中的部分代碼移到殼中執行了),目錄這個程式還是不能運行
但對於分析已經足夠了。

相關詞條

熱門詞條

聯絡我們