感染性的木马病毒分析之样本KWSUpreport.exe

一、病毒样本简述

初次拿到样本 KWSUpreport_感染.exe.v 文件,通过使用PE工具,并不能辨别出该样本是那种感染类型,使用了一个比较直接的方法,从网上查资料,获取到了该样本的正常EXE文件的一些信息,资料表明:KWSUpreport.exe
是2009年版金山网盾程序的一个上传用户报告的程序模块,因此从网上下载了该版本的金山网盾程序,获取到了正常的KWSUpreport.exe文件,经过OD的调试以及与感染KWSUpreport.exe文件的对比,能够确定获取到的KWSUpreport.exe文件是该感染样本的正常文件。

下面使用StudPE工具查看感染KWSUpreport.exe文件正常KWSUpreport.exe文件的不同,感染文件和正常的文件的文件头的信息不同,主要表现在:

1.      程序的入口点发生了改变

2.      整个PE文件的镜像大小改变了

注意:PE文件的区段的数量没有改变

感染文件和正常的文件的区段信息不同,主要表现在:

1.      区段的RVA发生了改变

2.      区段的大小发生了改变

注意:变化的部分主要集中在.text段即代码段

结论:初步可以判定样本文件KWSUpreport.exe的感染类型为节缝隙插入代码的感染。

二、病毒样本的具体分析

正常文件的OEP为00014F9D,感染文件的OEP为00015359.

对感染文件进行具体的分析:

==========================================================================

附上获取Kernel32的基址的函数GetKernel32Instance的分析:

==========================================================================

重定位的代码位置拷贝到申请堆内存空间0015C010的代码,大小为720H字节的大小,如下图:

==========================================================================

附上重定位函数DoRelocateFun 的分析:

==========================================================================

下面对关键函数0015C240进行具体的分析:

地址00415359处的代码的对比:

对创建线程的回调函数0015C50进行具体的分析:

转载博客请保留本文链接:http://blog.csdn.net/qq1084283172/article/details/45933129

时间: 2024-10-09 01:02:20

感染性的木马病毒分析之样本KWSUpreport.exe的相关文章

一个感染性木马病毒分析(三)--文件的修复

一. 序言 前面的分析一个感染型木马病毒分析(二)中,已经将该感染性木马病毒resvr.exe木马性的一面分析了一下,下面就将该感染性木马病毒resvr.exe感染性的一面分析一下. 二.文件感染方式的分析 之前感染性木马病毒的分析中,已经提到了病毒对于用户文件的感染方式有2种,分别是加密文件和感染文件传播病毒,至于文件感染的时候采取哪种感染方式,病毒母体文件和病毒母体衍生病毒文件中都有相关的标志位. 第1种感染文件的方式 前面分析的感染性木马病毒的木马性一面的过程中有下面一组远程控制命令Rev

一个感染型木马病毒分析(二)

作者:龙飞雪 0x1序言 前面已经对感染型木马病毒resvr.exe的病毒行为进行了详细的分析见一个感染型木马病毒分析(一),可是认为还不够.不把这个感染型木马病毒的行为的亮点进行分析一下就有点遗憾了. 以下就针对该感染型木马病毒的感染性.木马性以及被感染文件的恢复几个方面进行详细的分析和说明.直观感受一下病毒的感染性.木马性质. 0x2病毒木马性的分析---远程控制用户的电脑 前面的分析中已经分析过了,该感染型木马病毒会在用户的电脑上创建socket套接字作为service端,等待病毒作者cl

木马病毒分析

一.木马病毒背景介绍 a) 特洛伊木马病毒是指隐藏在正常程序中的一段具有特殊功能的恶意代码,具备破坏和删除文件.发送密码.记录键盘和攻击等功能,会使用户系统破坏甚至瘫痪. b) 1986年第一例计算机木马. 二.木马病毒的分类 a) 针对网游的木马病毒 b) 针对网银的木马病毒 c) 针对即时通讯工具的木马病毒 d) 给计算机开后门的木马病毒 e) 推广广告的木马病毒 三.木马病毒的发展阶段 a) 第一代木马:伪装性病毒 这种病毒通过伪装成一个合法性程序诱骗用户上当.世界上第一个计算机木马 是出

灰鸽子木马病毒分析

简介: 灰鸽子木马分为两部分:客户端和服务端. 黑客操控者客户端,利用客户端配置生成出一个服务端程序.服务端文件的名字默认为G_Server.exe,然后打开后门.开后门的手段有很多,比如,黑客可以将它与一张图片绑定,诱骗运行:也可以建立一个个人网页,诱骗点击,利用IE漏洞把木马下载到你的机器上并运行:还可以将文件上传到某个软件下载地点,诱骗用户下载. 运行过程: G_Server.exe运行后将自己拷贝到Windows目录下(98/xp下为系统盘的windows目录,2k/NT下为系统盘的Wi

一个Trojan木马病毒的分析(二)

一.基本信息 样本名称:hra33.dll或者lpk.dll 样本大小: 66560 字节 文件类型:Win32的dll文件 病毒名称:Dropped:Generic.ServStart.A3D47B3E 样本MD5:5B845C6FDB4903ED457B1447F4549CF0 样本SHA1:42E93156DBEB527F6CC104372449DC44BF477A03 这个样本文件是前面分析的Trojan木马病毒母体Rub.EXE释放到用户系统C:\WINDOWS\system32目录下

Word/Excel文档伪装木马病毒-kspoold.exe分析

一. 病毒样本基本信息 样本名称:kspoold.exe 样本大小: 285184 字节 样本MD5:CF36D2C3023138FE694FFE4666B4B1B2 病毒名称:Win32/Trojan.Spy.a5e 计算机系统中了该病毒一个比较明显的特征就是U盘里的.doc..xls文件会被病毒隐藏起来,变成kspoold.exe病毒的载体文件,误导用户以为是原来的.doc..xls文件达到传播病毒的目的,用户运行该kspoold.exe的载体病毒以后,病毒母体kspoold.exe就会驻留

第一个打击木马病毒查杀007一片:反向熊猫的分析(下一个)

        本系列文章的版权"I春天的"整个,转载请注明出处.         本文配套视频教程,请訪问"i春秋"(www.ichunqiu.com). 一.前言 这次我们会接着上一篇的内容继续对病毒进行分析. 分析中会遇到一些不一样的情况,毕竟之前的代码我们仅仅要依照流程顺序一步一步往下走,就行弄清楚病毒的行为.可是在接下来的代码中,假设依然如此,在某些分支中的重要代码就运行不到了.所以我们须要採取一些策略.走完每一个分支,彻底分析出病毒的行为. 二.病毒分析

病毒分析要掌握的技能

[转载]http://bbs.pediy.com/showthread.php?t=199036 虽然这里面的技能都比较久远了,但是常识还是要了解的 1._declspec(naked) 告诉编译器不要优化代码 对于jmp类型的hook, 如果自己的过程没有使用_declspec(naked),那么系统会自动给添加一些额外的代码,控制堆栈平衡,但是这些额外的代码会破坏被hook函数的堆栈.对于call类型的hook,如果使用_declspec(naked)修饰的话,要注意自己恢复堆栈平衡.#de

PE文件加节感染之Win32.Loader.bx.V病毒分析

一.病毒名称:Win32.Loader.bx.V 二.分析工具:IDA 5.5.OllyDebug.StudPE 三.PE病毒简介: PE病毒感染的方式比较多,也比较复杂也比较难分析,下面就针对PE文件感染之加节的方式进行汇编层次的深度分析,其实说来惭愧,第一接触这个病毒样本的时候也有 点手足无措,最后还是在别人的指导下才顺利的分析下来,开始分析该样本的时候,仅仅关注这个样本是木马病毒这个特点而忽略他的PE感染的特性.下面就该样本的传播方 式进行逐一分析,其实还蛮怀恋分析样本的那些时间. 四.对