本文目录一览:
exe病毒的代码是什么?
刚刚看到一个朋友发了一个ff.exe的病毒样本,简单分析了下,之一部分,主函数代码
004061D2 /$ 55 push ebp ; Main
004061D3 |. 8BEC mov ebp, esp
004061D5 |. 81EC 1C030000 sub esp, 31C
004061DB |. 56 push esi
004061DC |. E8 FCAEFFFF call 取当前计算机用户名
004061E1 |. E8 88AFFFFF call 检查沙箱 ; 看自己是不是在虚拟机或沙箱中运行
004061E6 |. 85C0 test eax, eax
004061E8 |. 0F85 2E010000 jnz 0040631C
004061EE |. E8 C3B1FFFF call 检查模块dbghelp.dll ; 检查自己是否被调试
004061F3 |. 84C0 test al, al
004061F5 |. 0F85 21010000 jnz 0040631C
004061FB |. FF15 B8304100 call dword ptr [kernel32.GetCurrentProc; [GetCurrentProcess
00406201 |. 8BF0 mov esi, eax
00406203 |. 56 push esi
00406204 |. E8 DDAFFFFF call 004011E6 ; 调用NativeAPI查询系统信息
00406209 |. 3C 01 cmp al, 1
0040620B |. 59 pop ecx
0040620C |. 75 08 jnz short 00406216
0040620E |. 6A 00 push 0 ; /ExitCode = 0
00406210 |. FF15 FC304100 call dword ptr [kernel32.ExitProcess] ; \ExitProcess
00406216 | 56 push esi ; /hObject
00406217 |. FF15 CC304100 call dword ptr [kernel32.CloseHandle] ; \CloseHandle
0040621D |. E8 63B1FFFF call 00401385 ; 反调试代码
00406222 |. 3C 01 cmp al, 1
00406224 |. 75 08 jnz short 0040622E
00406226 |. 6A 00 push 0 ; /ExitCode = 0
00406228 |. FF15 FC304100 call dword ptr [kernel32.ExitProcess] ; \ExitProcess
0040622E | E8 42140000 call GetAddress ; 动态获取大量API函数地址
00406233 |. 833D 98584100 00 cmp dword ptr [415898], 0
0040623A |. 74 05 je short 00406241
0040623C |. E8 2F360000 call 00409870 ; 调用大量批处理来执行dos命令
00406241 | 8365 F8 00 and dword ptr [ebp-8], 0
00406245 |. 8365 FC 00 and dword ptr [ebp-4], 0
00406249 |. 6A 02 push 2
0040624B |. C745 F0 34594100 mov dword ptr [ebp-10], 00415934 ; ASCII "lncmmmser"
00406252 |. C745 F4 46934000 mov dword ptr [ebp-C], 00409346
00406259 |. FF15 74AA4100 call dword ptr [41AA74] ; kernel32.SetErrorMode
0040625F |. BE 04010000 mov esi, 104
00406264 |. 8D85 E4FCFFFF lea eax, dword ptr [ebp-31C]
0040626A |. 56 push esi ; /BufSize = 104 (260.)
0040626B |. 50 push eax ; |PathBuffer
0040626C |. 6A 00 push 0 ; |/pModule = NULL
0040626E |. FF15 F4304100 call dword ptr [kernel32.GetModuleHandl; |\GetModuleHandleA
00406274 |. 50 push eax ; |hModule
00406275 |. FF15 F8304100 call dword ptr [kernel32.GetModuleFileN; \GetModuleFileNameA
0040627B |. 8D85 ECFEFFFF lea eax, dword ptr [ebp-114]
00406281 |. 56 push esi ; /DestSizeMax = 104 (260.)
00406282 |. 50 push eax ; |DestString
00406283 |. 68 0C594100 push 0041590C ; |SrcString = "%windir%\system"
00406288 |. FF15 BC304100 call dword ptr [kernel32.ExpandEnvironm; \ExpandEnvironmentStringsA
0040628E |. BE 1C594100 mov esi, 0041591C ; ASCII "serivcers.exe"
00406293 |. 8D85 ECFEFFFF lea eax, dword ptr [ebp-114]
00406299 |. 56 push esi ; /%s = "serivcers.exe"
0040629A |. 50 push eax ; |%s
0040629B |. 8D85 E8FDFFFF lea eax, dword ptr [ebp-218] ; |
004062A1 |. 68 40624100 push 00416240 ; |format = "%s\%s"
004062A6 |. 50 push eax ; |s
004062A7 |. FF15 94314100 call dword ptr [msvcrt.sprintf] ; \sprintf
004062AD |. 8D85 ECFEFFFF lea eax, dword ptr [ebp-114]
004062B3 |. 56 push esi
004062B4 |. 50 push eax
004062B5 |. E8 7D3C0000 call CopySelfToSystem32 ; 复制自身到System32目录,并且替换Serivcers.exe
004062BA |. 83C4 18 add esp, 18
004062BD |. 85C0 test eax, eax
004062BF |. 74 35 je short 004062F6
004062C1 |. 8D85 E4FCFFFF lea eax, dword ptr [ebp-31C]
004062C7 |. 6A 01 push 1
004062C9 |. 50 push eax
004062CA |. 68 CB5C4100 push 00415CCB ; ASCII "systemxstuff"
004062CF |. 68 CC5B4100 push 00415BCC ; ASCII "SOFTWARE\Microsoft\Windows\CurrentVersion\Shell Extensions"
004062D4 |. FF35 C85B4100 push dword ptr [415BC8]
004062DA |. E8 7A2E0000 call 00409159 ; 修改关键注册表项,关联病毒为explorer打开文件夹
004062DF |. 8D85 E8FDFFFF lea eax, dword ptr [ebp-218]
004062E5 |. 50 push eax
004062E6 |. E8 F8300000 call 注册系统服务
004062EB |. 83C4 18 add esp, 18
004062EE |. 6A 01 push 1 ; /ExitCode = 1
004062F0 |. FF15 FC304100 call dword ptr [kernel32.ExitProcess] ; \ExitProcess
004062F6 | 68 24624100 push 00416224 ; ASCII "Enabled:Microsoft Enabled"
004062FB |. E8 00ADFFFF call 00401000
00406300 |. 59 pop ecx
00406301 |. 8D45 F0 lea eax, dword ptr [ebp-10]
00406304 |. 50 push eax
00406305 |. FF15 8CAA4100 call dword ptr [41AA8C] ; advapi32.StartServiceCtrlDispatcherA
0040630B |. 85C0 test eax, eax
0040630D |. 75 0D jnz short 0040631C
0040630F |. 8D85 E8FDFFFF lea eax, dword ptr [ebp-218]
00406315 |. 50 push eax
00406316 |. E8 C8300000 call 注册系统服务
0040631B |. 59 pop ecx
0040631C | 33C0 xor eax, eax
0040631E |. 5E pop esi
0040631F |. C9 leave
00406320 \. C2 1000 retn 10
群里有人发了一个exe,貌似是木马,但360检测为安全,求大神破解出其源代码
您好
如果您觉得该文件是可疑文件,建议您可以到腾讯电脑管家官网下载一个电脑管家
然后打开电脑管家——右上角【反馈】,举报病毒——添加这个文件上去——提交
然后电脑管家的专业技术团队,会为您进行分析该文件,并将结果反馈给您的。
如果还有其他疑问和问题,欢迎再次来电脑管家企业平台进行提问,我们将尽全力为您解答疑难
电脑中了exe病毒,怎么办?
把U盘插入到一台电脑后,发现U盘内生成了以文件夹名字命名的文件,扩展名为exe,这是电脑应该是中病毒了,可以通过杀毒软件,或者去掉隐藏已知文件类型的扩展名删除。
1、首先在电脑中点击开始菜单,点击控制面板选项,如下图所示。
2、然后在打开的控制面板中,选择外观和主题。
3、接着在打开的页面中,点击文件夹选项,如下图所示。
4、然后选中显示所有文件和文件夹,去掉隐藏已知文件类型的扩展名。
5、最后返回刚才的盘,发现同时出现两个新建文件夹,将带exe文件夹删掉就行了 。
机器狗木马三代病毒源代码
机器狗木马三代是机器狗木马的最新变种,从五一假期开始处于爆发趋势,至今愈演愈烈,[b][color=red]截至目前已有百万电脑中招[/color][/b]。360安全中心再次紧急更新360顽固木马专杀大全,全面围剿机器狗木马三代。(360顽固木马专杀大全下载地址:[url=][color=#0044dd][/color][/url])KE|.C|(Z+^
QC|Y\(ZMXE
机器狗是一种危害极强的木马病毒下载器,它会给受害者的电脑下载大量的木马、病毒、恶意软件、插件等。[b][color=red]一旦中毒,受害者的电脑便随时可能感染任何木马病毒,这些木马病毒会疯狂地盗用用户的 *** 账号密码、游戏账号密码、网上银行卡号密码等用户信息,也会破坏操作系统,严重的会使系统彻底崩溃。[/color][/b]2f?*u4kZ
0ZQ2kA*RO ]+Q6RF 本次出现的新变种则更加猖狂,主要有如下行为:M5@q'@I-\\lq
3b@1@`(BY'Rf [b]1. 使杀毒软件失效并破坏系统[/b]
%i%Y:@$^^^D%a@
.szk*}? jV_ 感染更多系统文件,在安装有卡巴斯基的电脑里,能先使卡巴斯基失效,以便释放一个驱动。在这个驱动的作用下,机器狗新变种木马就能绕过所有的还原软件和自我保护以及开机免疫,进而为所欲为。.J/O1|Vq,W
4]z F{|W [b]2. 给电脑装上大量的病毒和木马[/b] Q.j `AG8c u
o}*_Kj9b4G
感染后的系统文件会自动后台访问木马网站,下载一个TXT文本文件,并根据文件里的配置下载相关木马。从这个角度上来讲,这个新变种的机器狗也承担了一部分的“木马运输”工作,成为其他木马的渠道,以便以此获利。
%o9QL_S\Z.G1H
"O7a!C2|;gfV [b]3. 破坏360保险箱的保护,盗取账号密码[/b],Qg P%[ se
C8s oVS Hs 部分新变种能特别针对360保险箱进行攻击,修改360保险箱中的关键文件,取消游戏保护功能,继而盗取账号密码。
Z [6hv?` x
7l%\*F^3wk@ S +X4Up0~lS Ie ^
nas`vw9rc/A
如果大家遇见以上症状,请下载机器狗专杀或者360专杀大全进行全面检测和查杀h~StE#q
0c!RhI.fO1fl+r
机器狗专杀下载地址:[url=][color=#0000ff][/color][/url][f!s0k2v EU'l
/{P#e^f)G 360专杀大全下载地址:[url=][color=#0000ff][/color][/url]
!G"Gr L2Y6A/a K%yi4o cDf
[b][color=red]注:下载机器狗专杀运行后,会为您的电脑增加对机器狗的免疫。增加免疫后,可以抵御大多数木马病毒。[/color][/b]%Y)N#V(NJIi
8m UMA R
或者及时到360百科([url=][color=#0000ff][/color][/url])求助,也可直接发邮件至 [email]fk@360safe.com[/email]进行反馈。