Trojan-PSW.Win32.Lmir.bnx样本分析

ChinaItLab

佚名

2007-11-21

保存本文

推荐给好友

收藏本页

欢迎进入Windows社区论坛，与200万技术人员互动交流 >>进入

　　代码分析：

　　1、复制原文件到系统目录%Windir%下，并重命名为IGM.exe：

0040513D   .  50            push eax                  ; |ExistingFileName 0040513E   .  E8 49ECFFFF   call Trojan-P.00403D8C    ; \CopyFileA

　　2、删除病毒原文件：

0040516A   .  50            push eax                      ; /FileName 0040516B   .  E8 34ECFFFF   call Trojan-P.00403DA4        ; \DeleteFileA

　　3、使用IE浏览器打开网站“中国残疾人联合会” （http://www.cdpf.org.cn/）：

00405248   .  6A 05         push 5                 ; /IsShown = 5 0040524A   .  6A 00         push 0                ; |DefDir = NULL
0040524C  . 68 70554000  push Trojan-P.00405570  ; |Parameters = 
                                                 "http://www.cdpf.org.cn/"
00405251  .  68 88554000  push Trojan-P.00405588 ;|FileName = "IEXPLORE.EXE"
00405256  .  68 98554000  push Trojan-P.00405598       ; |Operation = "open"
0040525B  .  A1 98784000  mov eax,dword ptr ds:[407898]   ; |
00405260  .  50           push eax                        ; |hWnd => NULL
00405261  .  E8 9AEFFFFF  call Trojan-P.00404200           ; \ShellExecuteA

　　4、添加IGM.exe为注册表启动项：

00405273   .  B9 A0554000   mov ecx,Trojan-P.004055A0     ;  ASCII "WinSysM" 00405278   .  BA A8554000   mov edx,Trojan-P.004055A8     ;  ASCII 
                             "SOFTWARE\Microsoft\Windows\CurrentVersion\Run"

　　以下为病毒衍生文件192896MM.DLL的反汇编代码：

　　5、检查网络是否正常连接：

003D6381   .  68 98633D00   push 192896MM.003D6398    ; /Arg1 = 003D6398 003D6386   .  E8 E5EEFFFF   call 192896MM.003D5270    ; \192896MM.003D5270

　　6、检测mir1和mir2的进程ID：

 003D733D   .  B8 2C743D00   mov eax,192896MM.003D742C   ;  ASCII "mir1.dat"
003D7342   .  E8 E9DDFFFF   call 192896MM.003D5130      ；检测mir1的进程ID
003D7347   .  E8 18D1FFFF   call <jmp.&kernel32.GetCurrentProcessId> 
                                                     ; [GetCurrentProcessId
003D734C   .  3B45 F8       cmp eax,dword ptr ss:[ebp-8]
003D734F      74 4C         je short 192896MM.003D739D  ；检测mir1的进程ID，
                                            如果不存在则跳转到检测mir2的进程ID
 
003D738B   > /68 38743D00   push 192896MM.003D7438     ; /Arg1 = 003D7438
003D7390   . |E8 DBDEFFFF   call 192896MM.003D5270     ; \192896MM.003D5270
；绑定mir1
 
003D73A2   .  B8 50743D00   mov eax,192896MM.003D7450  ;  ASCII "mir2.dat"
003D73A7   .  E8 84DDFFFF   call 192896MM.003D5130     ；检测mir2的进程ID
003D73AC   .  E8 B3D0FFFF   call <jmp.&kernel32.GetCurrentProcessId>
                                                    ; [GetCurrentProcessId
003D73B1   .  3B45 F8       cmp eax,dword ptr ss:[ebp-8]
003D73B4      75 66         jnz short 192896MM.003D741C   ；(如检测不到
                                               mir2的进程ID则跳转到退出界面。
 
003D7402   > /68 5C743D00   push 192896MM.003D745C     ; /Arg1 = 003D745C
003D7407   . |E8 64DEFFFF   call 192896MM.003D5270     ; \192896MM.003D5270
；绑定mir2

　　7、检查用户游戏玩家装备、元宝、等级：

003D7FCC  |.  BA C0823D00   mov edx,192896MM.003D82C0 003D7FD1  |.  E8 C6B8FFFF   call 192896MM.003D389C        ；检查玩家身上装备
 
003D80FF  |.  BA E8823D00   mov edx,192896MM.003D82E8
003D8104  |.  E8 5BB9FFFF   call 192896MM.003D3A64         ；检查玩家包裹装备
 
003D81AA  |.  68 FC823D00   push 192896MM.003D82FC
003D81AF  |.  8D55 C4       lea edx,dword ptr ss:[ebp-3C]
003D81B2  |.  8B07          mov eax,dword ptr ds:[edi]
003D81B4  |.  E8 3FC6FFFF   call 192896MM.003D47F8         ；检查玩家金币
 
003D81EE  |.  68 18833D00   push 192896MM.003D8318
003D81F3  |.  8D55 C0       lea edx,dword ptr ss:[ebp-40]
003D81F6  |.  8B07          mov eax,dword ptr ds:[edi]
003D81F8  |.  E8 FBC5FFFF   call 192896MM.003D47F8         ；检查玩家等级

上一页 [1] [2]

【责编:John】