“Virus.Win32.Downloader.m”的意思、由来-中文百科全书

Virus.Win32.Downloader.m多变感染样本的分析与修复工具

Virus.Win32.Downloader.m.zip

下载: http://www.youswap.com/index.php?download_id=d52c106e-cd69-102a-a8a3-0030488882b4

zip(密码)(password): http://hi.baidu.com/503165656

=====================================

Virus.Win32.Downloader.m样本是多.变的, 入口没有加密,只是感染节的文件偏移多变,加上我用2个不同版本的exe分析,没有运行修复后的sss.exe( :( )

--------只是感染节的文件偏移多变-------

4 .+% 00046000 0000084B 0000A000 0000084B E00000E0

4 .+% 00207000 0000084B 00063A00 0000084B E00000E0

5 .+% 0001A000 0000084B 00013600 0000084B E00000E0

---

实际改下子程序就能修复了!

请升级凝逸反毒,凝逸修复引擎C001.1.2版能修复多变种的Virus.Win32.Downloader.m了

下载凝逸反毒 http://503165656.googlegroups.com/web/n1.htm

感染文件sss.exe nyfd.exe 为易语言写的,要运行,到 http://503165656.googlegroups.com/web/n1.htm 写个完全版本,放入就能运行

=====================================

=================

---------------

在变种的.感染分析中:

MicrosoftCTO(6108661)与阿虎(48993263)给予不少帮助

転生の炎(2605522)提供感染的exe

谢谢!

---

MicrosoftCTO(6108661)与阿虎(48993263)的分析与我的分析大体一样, 他们还把病毒的更新文件地址,提取出来,强人!

(阿虎的分析 http://hi.baidu.com/xdct/blog/item/65edcadcec34dea2cc11666c.html)

---

006075DF C785 38FFFFFF 68740000 mov dword ptr ss:[ebp-C8],7468 ;这些字符.就是病毒的更新文件地址http://www.we168.org/Data/a.txt

---------------

=======================

-----------------------

sss.exe感染

========PE格.式分析==========

文件头分析【PE Headers】

文件格式：unknown signature, probably MS-DOS

DOS_HEADER 文件头长度：176

文件运行.所要求的CPU ：Intel 80386 处理器或更高

节数目：4

文件创建的时间：2000年5月19日10时11分55秒

OptionalHeader 结构大小：E0

文件信息的标记：10F

标志字：10B

连接器版本号：4.0

代码段长度：0

已初始化数据块大小：9D57

未初始化数据块大小：39000

程序入口 [EntryCodeData]：00046441

代码段起始 [BaseOfCode]：00001000

数据库段起始 [BaseOfData]：0003A000

优先装载地址 [ImageBase]：00400000

内存中节对齐粒度：1000

文件中节对齐粒度：200

系统所需版本号：4.0

自定义版本号：1.0

子系统所需版本号：4.0

内存中PE映像体的尺寸：4684B

所有头+节表的大小：400

校验和：133AE

文件系统：IMAGE_SUBSYSTEM_WINDOWS_GUI

DLL特性：0

保留栈的大小：100000

初始时指定栈大小：1000

保留堆的大小：100000

指定堆大小：1000

加载器标志：0

Rva数和大小：10

分析.节表【Section Table】

序号名称代码地址代码长度文件偏移文件长度内存属性

1 00001000 00039000 00000400 00000000 E0000060

2 0003A000 00009D57 00000400 00008A00 E0000060

3 00044000 0000115C 00008E00 00001200 E0000060

4 .+% 00046000 0000084B 0000A000 0000084B E00000E0

-------------------

---------------------------

nyfd.exe感染

========PE格式分析==========

文件头分析【PE Headers】

文件格式：unknown signature, probably MS-DOS

DOS_HEADER 文件头长度：176

文件运行所要求的CPU ：Intel 80386 处理器或更高

节数目：4

文件创建的时间：2000年5月19日10时11分55秒

OptionalHeader 结构大小：E0

文件信息.的标记：10F

标志字：10B

连接器版本号：4.0

代码段长度：0

已初始化数据块大小：636F4

未初始化数据块大小：1A0000

程序入口 [EntryCodeData]：00207441

代码段起始 [BaseOfCode]：00001000

数据库段起始 [BaseOfData]：001A1000

优先装载地址 [ImageBase]：00400000

内存中节对齐粒度：1000

文件中节对齐粒度：200

系统所需版本号：4.0

自定义版本号：1.0

子系统所需版本号：4.0

内存中PE映像体的尺寸：20784B

所有头+节表的大小：400

校验和：70B81

文件系统：IMAGE_SUBSYSTEM_WINDOWS_GUI

DLL特性：0

保留栈的大小：100000

初始时指定栈大小：1000

保留堆的大小：100000

指定堆大小：1000

加载器标志：0

Rva数和大小：10

分析.节表【Section Table】

序号名称代码地址代码长度文件偏移文件长度内存属性

1 00001000 001A0000 00000400 00000000 E0000060

2 001A1000 000636F4 00000400 00062400 E0000060

3 00205000 00001104 00062800 00001200 E0000060

4 .+% 00207000 0000084B 00063A00 0000084B E00000E0

--------------------------------

extract.exe感染

========PE格式分析==========

文件头分析【PE Headers】

文件格式：unknown signature, probably MS-DOS

DOS_HEADER 文件头长度：216

文件运行.所要求的CPU ：Intel 80386 处理器或更高

节数目：5

文件创建的时间：2001年8月17日20时53分16秒

OptionalHeader 结构大小：E0

文件信息的标记：10F

标志字：10B

连接器版本号：7.0

代码段长度：12000

已初.始化数据块大小：5000

未初始化数据块大小：0

程序入口 [EntryCodeData]：0001A441

代码段起始 [BaseOfCode]：00001000

数据库段起始 [BaseOfData]：00013000

优先装载地址 [ImageBase]：01000000

内存中节对齐粒度：1000

文件中节对齐粒度：200

系统所需版本号：5.1

自定义版本号：5.1

子系统所需版本号：4.0

内存中PE映像体的尺寸：1A84B

所有头+节表的大小：400

校验和：22ECB

文件系统：IMAGE_SUBSYSTEM_WINDOWS_CUI

DLL特性：FFFF8000

保留栈的大小：40000

初始时.指定栈大小：1000

保留堆的大小：100000

指定堆大小：1000

加载器标志：0

Rva数和大小：10

分析节表【Section Table】

序号名称代码地址代码长度文件偏移文件长度内存属性

1 .text 00001000 00011F7C 00000400 00012000 E0000020

2 .data 00013000 00004A44 00012400 00000E00 C0000040

3 .rsrc 00018000 00000400 00013200 00000400 40000040

4 .wtq 00019000 00000001 00013600 00000000 E0000020

5 .+% 0001A000 0000084B 00013600 0000084B E00000E0

-------------------------------------

词条	Virus.Win32.Downloader.m
释义	Virus.Win32.Downloader.m多变感染样本的分析与修复工具 Virus.Win32.Downloader.m.zip 下载: http://www.youswap.com/index.php?download_id=d52c106e-cd69-102a-a8a3-0030488882b4 zip(密码)(password): http://hi.baidu.com/503165656 ===================================== Virus.Win32.Downloader.m样本是多.变的, 入口没有加密,只是感染节的文件偏移多变,加上我用2个不同版本的exe分析,没有运行修复后的sss.exe( :( ) --------只是感染节的文件偏移多变------- 4 .+% 00046000 0000084B 0000A000 0000084B E00000E0 4 .+% 00207000 0000084B 00063A00 0000084B E00000E0 5 .+% 0001A000 0000084B 00013600 0000084B E00000E0 --- 实际改下子程序就能修复了! 请升级凝逸反毒,凝逸修复引擎C001.1.2版能修复多变种的Virus.Win32.Downloader.m了下载凝逸反毒 http://503165656.googlegroups.com/web/n1.htm -- 感染文件sss.exe nyfd.exe 为易语言写的,要运行,到 http://503165656.googlegroups.com/web/n1.htm 写个完全版本,放入就能运行 ===================================== ================= --------------- 在变种的.感染分析中: MicrosoftCTO(6108661)与阿虎(48993263)给予不少帮助転生の炎(2605522)提供感染的exe 谢谢! --- MicrosoftCTO(6108661)与阿虎(48993263)的分析与我的分析大体一样, 他们还把病毒的更新文件地址,提取出来,强人! (阿虎的分析 http://hi.baidu.com/xdct/blog/item/65edcadcec34dea2cc11666c.html) --- 006075DF C785 38FFFFFF 68740000 mov dword ptr ss:[ebp-C8],7468 ;这些字符.就是病毒的更新文件地址http://www.we168.org/Data/a.txt --------------- ======================= ----------------------- sss.exe感染 ========PE格.式分析========== 文件头分析【PE Headers】文件格式：unknown signature, probably MS-DOS DOS_HEADER 文件头长度：176 文件运行.所要求的CPU ：Intel 80386 处理器或更高节数目：4 文件创建的时间：2000年5月19日10时11分55秒 OptionalHeader 结构大小：E0 文件信息的标记：10F 标志字：10B 连接器版本号：4.0 代码段长度：0 已初始化数据块大小：9D57 未初始化数据块大小：39000 程序入口 [EntryCodeData]：00046441 代码段起始 [BaseOfCode]：00001000 数据库段起始 [BaseOfData]：0003A000 优先装载地址 [ImageBase]：00400000 内存中节对齐粒度：1000 文件中节对齐粒度：200 系统所需版本号：4.0 自定义版本号：1.0 子系统所需版本号：4.0 内存中PE映像体的尺寸：4684B 所有头+节表的大小：400 校验和：133AE 文件系统：IMAGE_SUBSYSTEM_WINDOWS_GUI DLL特性：0 保留栈的大小：100000 初始时指定栈大小：1000 保留堆的大小：100000 指定堆大小：1000 加载器标志：0 Rva数和大小：10 分析.节表【Section Table】序号名称代码地址代码长度文件偏移文件长度内存属性 1 00001000 00039000 00000400 00000000 E0000060 2 0003A000 00009D57 00000400 00008A00 E0000060 3 00044000 0000115C 00008E00 00001200 E0000060 4 .+% 00046000 0000084B 0000A000 0000084B E00000E0 ------------------- --------------------------- nyfd.exe感染 ========PE格式分析========== 文件头分析【PE Headers】文件格式：unknown signature, probably MS-DOS DOS_HEADER 文件头长度：176 文件运行所要求的CPU ：Intel 80386 处理器或更高节数目：4 文件创建的时间：2000年5月19日10时11分55秒 OptionalHeader 结构大小：E0 文件信息.的标记：10F 标志字：10B 连接器版本号：4.0 代码段长度：0 已初始化数据块大小：636F4 未初始化数据块大小：1A0000 程序入口 [EntryCodeData]：00207441 代码段起始 [BaseOfCode]：00001000 数据库段起始 [BaseOfData]：001A1000 优先装载地址 [ImageBase]：00400000 内存中节对齐粒度：1000 文件中节对齐粒度：200 系统所需版本号：4.0 自定义版本号：1.0 子系统所需版本号：4.0 内存中PE映像体的尺寸：20784B 所有头+节表的大小：400 校验和：70B81 文件系统：IMAGE_SUBSYSTEM_WINDOWS_GUI DLL特性：0 保留栈的大小：100000 初始时指定栈大小：1000 保留堆的大小：100000 指定堆大小：1000 加载器标志：0 Rva数和大小：10 分析.节表【Section Table】序号名称代码地址代码长度文件偏移文件长度内存属性 1 00001000 001A0000 00000400 00000000 E0000060 2 001A1000 000636F4 00000400 00062400 E0000060 3 00205000 00001104 00062800 00001200 E0000060 4 .+% 00207000 0000084B 00063A00 0000084B E00000E0 -------------------------------- extract.exe感染 ========PE格式分析========== 文件头分析【PE Headers】文件格式：unknown signature, probably MS-DOS DOS_HEADER 文件头长度：216 文件运行.所要求的CPU ：Intel 80386 处理器或更高节数目：5 文件创建的时间：2001年8月17日20时53分16秒 OptionalHeader 结构大小：E0 文件信息的标记：10F 标志字：10B 连接器版本号：7.0 代码段长度：12000 已初.始化数据块大小：5000 未初始化数据块大小：0 程序入口 [EntryCodeData]：0001A441 代码段起始 [BaseOfCode]：00001000 数据库段起始 [BaseOfData]：00013000 优先装载地址 [ImageBase]：01000000 内存中节对齐粒度：1000 文件中节对齐粒度：200 系统所需版本号：5.1 自定义版本号：5.1 子系统所需版本号：4.0 内存中PE映像体的尺寸：1A84B 所有头+节表的大小：400 校验和：22ECB 文件系统：IMAGE_SUBSYSTEM_WINDOWS_CUI DLL特性：FFFF8000 保留栈的大小：40000 初始时.指定栈大小：1000 保留堆的大小：100000 指定堆大小：1000 加载器标志：0 Rva数和大小：10 分析节表【Section Table】序号名称代码地址代码长度文件偏移文件长度内存属性 1 .text 00001000 00011F7C 00000400 00012000 E0000020 2 .data 00013000 00004A44 00012400 00000E00 C0000040 3 .rsrc 00018000 00000400 00013200 00000400 40000040 4 .wtq 00019000 00000001 00013600 00000000 E0000020 5 .+% 0001A000 0000084B 00013600 0000084B E00000E0 -------------------------------------
随便看	武汉东湖清河桥武汉东湖万达中央武汉东湖新技术开发区条例武汉东湖综合保税区武汉东南清大节能技术有限责任公司武汉东尼数字技术有限公司武汉东神轿车专用件有限公司武汉东盛液压气动设备有限公司武汉东舜置业发展有限公司武汉东泰机械设备有限公司武汉东泰机械制造有限公司武汉东田吉吉艺术生活馆武汉东鑫酒店武汉动漫设计培训学校武汉动漫网武汉动漫游戏培训学院武汉都市生活网武汉都市阳光广告有限公司武汉度假村网武汉端午礼品沙湖咸蛋有限责任公司武汉多福来打火机有限公司武汉多康网络科技有限公司武汉多科环保工程有限公司武汉多米捷标识设备有限公司武汉鄂电电力试验设备有限公司