Virus.Win32.Downloader.m样本.分析与修复工具
样本
http://www.kingzoo.com/bbs/attachment.php?aid=4244
http://www.kingzoo.com/bbs/attachment.php?aid=4245
Virus.Win32.Downloader.m感染所有EXE
[2007-10-13]
卡巴报:Virus.Win32.Downloader.m 目前修复的exe为坏了的!
瑞星报:Win32.Mumawow.A
凝逸反毒5.46 凝逸修复引擎C001 可以修复
===
中毒MouseAcross.exe
MD5值(32位):CBDA01FA6058B782AB58B6713A5009A8
长度:17483
原MouseAcross.exe
MD5值(32位):64BCDD6E96C5141E4B42886B85D80F15
长度:15360
[凝逸反毒]修复后的MouseAcross.exe
MD5值(32位):64BCDD6E96C5141E4B42886B85D80F15
长度:15360
===
=======中毒MouseAcross.exe=PE格式分析==========
文件头分析【PE Headers】
文件格式 :unknown signature, probably MS-DOS
DOS_HEADER 文件头长度 :176
文件运行所要求的CPU :Intel 80386 处理器或更高
节数目 :6
文件创建的时间 :2005年1月5日0时38分15秒
OptionalHeader 结构大小 :E0
文件信息的标记 :10F
标志字 :10B
连接器版本号 :6.0
代码段长度 :4000
已初始化数据块大小 :3000
未初始化数据块大小 :0
★程序入口 [EntryCodeData]:0000C441
代码段起始 [BaseOfCode]:00001000
数据库段起始 [BaseOfData]:00005000
★优先装载地址 [ImageBase]:00400000
内存中节对齐粒度 :1000
文件中节对齐粒度 :200
系统所需版本号 :4.0
自定义版本号 :1.20
子系统所需版本号 :4.0
内存中PE映像体的尺寸 :C84B
所有头+节表的大小 :600
校验和 :B7C7
文件系统 :IMAGE_SUBSYSTEM_WINDOWS_GUI
DLL特性 :0
保留栈的大小 :100000
初始时指定栈大小 :1000
保留堆的大小 :100000
指定堆大小 :1000
加载器标志 :0
Rva数和大小 :10
分析节表【Section Table】
序号 名称 代码地址 代码长度 文件偏移 文件长度 内存属性
1 .text 00001000 00004000 00000600 00001200 C0000040
2 .data 00005000 00000BB0 00000000 00000000 C0000040
3 .rsrc 00006000 00002000 00001800 00000200 C0000040
4 .* 00008000 00003000 00001A00 00002200 C0000040
5 .adata 0000B000 00001000 00003C00 00000000 C0000040
6 .+% 0000C000 0000084B 00003C00 0000084B E00000E0
=====
6 .+% 0000C000 0000084B 00003C00 0000084B E00000E0
节6为感染节,长度0000084B
感染
=====================================================
============
=======原 鼠标通 =MouseAcross.exe=PE格式分析==========
文件头分析【PE Headers】
文件格式 :unknown signature, probably MS-DOS
DOS_HEADER 文件头长度 :176
文件运行所要求的CPU :Intel 80386 处理器或更高
节数目 :5
文件创建的时间 :2005年1月5日0时38分15秒
OptionalHeader 结构大小 :E0
文件信息的标记 :10F
标志字 :10B
连接器版本号 :6.0
代码段长度 :4000
已初始化数据块大小 :3000
未初始化数据块大小 :0
★程序入口 [EntryCodeData]:00008001
代码段起始 [BaseOfCode]:00001000
数据库段起始 [BaseOfData]:00005000
★优先装载地址 [ImageBase]:00400000
内存中节对齐粒度 :1000
文件中节对齐粒度 :200
系统所需版本号 :4.0
自定义版本号 :1.20
子系统所需版本号 :4.0
内存中PE映像体的尺寸 :C000
所有头+节表的大小 :600
校验和 :B7C7
文件系统 :IMAGE_SUBSYSTEM_WINDOWS_GUI
DLL特性 :0
保留栈的大小 :100000
初始时指定栈大小 :1000
保留堆的大小 :100000
指定堆大小 :1000
加载器标志 :0
Rva数和大小 :10
分析节表【Section Table】
序号 名称 代码地址 代码长度 文件偏移 文件长度 内存属性
1 .text 00001000 00004000 00000600 00001200 C0000040
2 .data 00005000 00000BB0 00000000 00000000 C0000040
3 .rsrc 00006000 00002000 00001800 00000200 C0000040
4 .* 00008000 00003000 00001A00 00002200 C0000040
5 .adata 0000B000 00001000 00003C00 00000000 C0000040
分析导入表【Import Table】 Image Thunk raw + ★ rva + Import by Name||Hint
动态链接库 :kernel32.dll
地址 : 0000295C 00008F5C==> GetProcAddress
地址 : 00002964 00008F60==> GetModuleHandleA
地址 : 0000296C 00008F64==> LoadLibraryA
================================================-
=========修复工具========================================
凝逸实验室-凝逸反毒5.46
加入: 凝逸修复引擎C001(nyxyc001)
功能: 修复感染Virus.Win32.Downloader.m,Win32.Mumawow.A的exe
---
修复方案:
1.关闭explorer.exe,qq,ie等exe,
2.关闭杀软(必须关其他杀软,不然无法对exe修复),
3.卸载QQ,最好也卸载杀软
4.全盘扫描!
5.全盘修复后,
6.重启电脑后,重装杀软,到腾讯网站下载QQ安装程序重装QQ.....
---
致谢: 提供病毒样本者:谁?忘了( ) , 転生の炎(2605522)
---
升级不了到,http://*********.googlegroups.com/web/n1.htm
下载:
凝逸反毒(官方最新版)
凝逸反毒-升级补丁(nyfd00.zip) 修复Virus.Win32.Downloader.m
解压到凝逸反毒目录中就可以了!
[用户系统信息]Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; TheWorld)
