UCBUG游戏网-最安全的绿色下载站点!

ucbug游戏网 > 新闻中心 > 业界动态 > → Worm.Spawn.SaiBo-赛博QQ感染众多软件[高危]

Worm.Spawn.SaiBo-赛博QQ感染众多软件[高危]

作者:转载 来源:转载 时间:2010-04-22 17:59

赛博QQ可能很多人用,它拥有可以显示好友ip等功能,但是附加了很多垃圾,比如锁定用户主页,更不为人知的是它还是一个蠕虫,会感染你常用的软件,防止用户删除,生成C:WINDOWSsystem32bserveth.dat这个文件,将用户数据发送到指定网站hxxt://support.hao8684.cn


目前没有几款杀软能查杀被感染的文件,所以把样本提供上来

Worm.Spawn.SaiBo 从感染程序里看出作者编写源码的路径是:d:ProgramSohoWormSpawnReleasespawn.pdb,从而我借助作者的信息, 我给它命了这个名.


赛博QQ主要会感染以下文件:

ttpcomm.dll 千千静听

BasicCtrlDll.dll QQ

ProgramBHOStub.dll 迅雷

mps.dll 暴风影音

uibrowser.dll 阿里旺旺

uxcontacts.dll MSN

AvatarX.ocx 飞信

  1. SOFTWAREMicrosoftWindowsCurrentVersionRun
     
  2. MicrosoftInternet ExplorerQuick Launch
复制代码


赛博QQ启动后会向Explorer.exe注入代码执行,Explorer.exe此时就会通过上面的启动项和路径判断是否有上述文件,如果有就会去感染这些文件,从文件中就可以清楚的看到被感染的文件都是一些常用的软件,所以一般用户很难清除木马,怎么判断你是否被感染了?一个简单的办法,如果你装了赛博QQ,你可以看看你QQ目录下的BasicCtrlDll.dll文件数字签名是否正常,如果不正常,那么就危险了,再看看被感染文件的代码,也很容易看出被感染了,由于之前我为了去除赛博QQ的主页锁定的广告功能,调试过赛博QQ的主程序DLL,很了解它程序解码、反调试和代码风格等,被感染文件入口代码如下:

  1. 100AF400 > $  8B4424 08        mov eax,dword ptr ss:[esp+8]                     ;  被感染文件入口点
     
  2. 100AF404   .  3C 01            cmp al,1
     
  3. 100AF406   .  74 04            je short mps.100AF40C
     
  4. 100AF408   .  3C 05            cmp al,5
     
  5. 100AF40A   .  7C 52            jl short mps.100AF45E
     
  6. 100AF40C   >  56               push esi
     
  7. 100AF40D   .  57               push edi
     
  8. 100AF40E   .  E8 02000000      call mps.100AF415
     
  9. 100AF413   .  CC               int3
     
  10. 100AF414   .  CC               int3
     
  11. 100AF415   $  5E               pop esi
     
  12. 100AF416   .  8D86 D91B0700    lea eax,dword ptr ds:[esi+71BD9]
     
  13. 100AF41C   .  50               push eax
     
  14. 100AF41D   .  8B86 510D0000    mov eax,dword ptr ds:[esi+D51]
     
  15. 100AF423   .  FFD0             call eax                                         ;  kernel32.GetModuleHandleA
     
  16. 100AF425   .  8D8E C51B0700    lea ecx,dword ptr ds:[esi+71BC5]
     
  17. 100AF42B   .  51               push ecx
     
  18. 100AF42C   .  50               push eax
     
  19. 100AF42D   .  8B86 450D0000    mov eax,dword ptr ds:[esi+D45]
     
  20. 100AF433   .  FFD0             call eax                                         ;  kernel32.GetProcAddress
     
  21. 100AF435   .  85C0             test eax,eax
     
  22. 100AF437   .  74 25            je short mps.100AF45E
     
  23. 100AF439   .  BF 00700100      mov edi,17000
     
  24. 100AF43E   .  6A 40            push 40
     
  25. 100AF440   .  68 00100000      push 1000
     
  26. 100AF445   .  57               push edi
     
  27. 100AF446   .  6A 00            push 0
     
  28. 100AF448   .  FFD0             call eax                                         ;  kernel32.VirtualAlloc
     
  29. 100AF44A   .  85C0             test eax,eax
     
  30. 100AF44C   .^ 74 86            je short mps.100AF3D4
     
  31. 100AF44E   .  8BCF             mov ecx,edi
     
  32. 100AF450   .  8BF8             mov edi,eax
     
  33. 100AF452   .  8DB6 EDAB0500    lea esi,dword ptr ds:[esi+5ABED]
     
  34. 100AF458   .  F3:A4            rep movs byte ptr es:[edi],byte ptr ds:[esi]
     
  35. 100AF45A   .  FFD0             call eax                                         ;  跳向木马的执行代码
     
  36. 100AF45C   .  5F               pop edi
     
  37. 100AF45D   .  5E               pop esi
     
  38. 100AF45E   >^ E9 2273FFFF      jmp mps.100A6785                                 ;  跳向程序原始入口点
复制代码

相关文章