基本介紹
- 中文名:Virus.Win32.Downloader.m
- 檔案頭長度:176
- 檔案運行:Intel 80386 處理器或更高
- 創建時間:2000年5月19日
- 結構大小:E0
- 程式入口 :00207441
簡介,過程,
簡介
Virus.Win32.Downloader.m.zip
只是感染節的檔案偏移多變
4 .+% 00046000 0000084B 0000A000 0000084B E00000E0
4 .+% 00207000 0000084B 00063A00 0000084B E00000E0
5 .+% 0001A000 0000084B 00013600 0000084B E00000E0
實際改下子程式就能修復了!
感染檔案sss.exe nyfd.exe 為易語言寫的,要運行
MicrosoftCTO(6108661)與阿虎(48993263)的分析與我的分析大體一樣, 他們還把病毒的更新檔案地址提取出來
006075DF C785 38FFFFFF 68740000 mov dword ptr ss:[ebp-C8],7468 這些字元.就是病毒的更新
sss.exe感染
過程
PE格.式分析
檔案頭分析【PE Headers】
檔案格式:unknown signature, probably MS-DOS
DOS_HEADER 檔案頭長度 :176
檔案運行.所要求的CPU :Intel 80386 處理器或更高
節數目:4
檔案創建的時間 :2000年5月19日10時11分55秒
OptionalHeader 結構大小 :E0
檔案信息的標記 :10F
標誌字:10B
連線器版本號 :4.0
代碼段長度 :0
已初始化數據塊大小 :9D57
未初始化數據塊大小 :39000
★程式入口 [EntryCodeData]:00046441
代碼段起始 [BaseOfCode]:00001000
資料庫段起始 [BaseOfData]:0003A000
★優先裝載地址 [ImageBase]:00400000
記憶體中節對齊粒度 :1000
檔案中節對齊粒度 :200
系統所需版本號 :4.0
自定義版本號 :1.0
子系統所需版本號 :4.0
記憶體中PE映像體的尺寸 :4684B
所有頭+節表的大小 :400
校驗和:133AE
檔案系統:IMAGE_SUBSYSTEM_WINDOWS_GUI
DLL特性:0
保留棧的大小 :100000
初始時指定棧大小 :1000
保留堆的大小 :100000
指定堆大小 :1000
載入器標誌 :0
Rva數和大小 :10
分析.節表【Section Table】
序號 名稱 代碼地址 代碼長度 檔案偏移 檔案長度 記憶體屬性
1 00001000 00039000 00000400 00000000 E0000060
2 0003A000 00009D57 00000400 00008A00 E0000060
3 00044000 0000115C 00008E00 00001200 E0000060
4 .+% 00046000 0000084B 0000A000 0000084B E00000E0
nyfd.exe感染
PE格式分析
檔案頭分析【PE Headers】
檔案格式:unknown signature, probably MS-DOS
DOS_HEADER 檔案頭長度 :176
檔案運行所要求的CPU :Intel 80386 處理器或更高
節數目:4
檔案創建的時間 :2000年5月19日10時11分55秒
OptionalHeader 結構大小 :E0
檔案信息.的標記 :10F
標誌字:10B
連線器版本號 :4.0
代碼段長度 :0
已初始化數據塊大小 :636F4
未初始化數據塊大小 :1A0000
★程式入口 [EntryCodeData]:00207441
代碼段起始 [BaseOfCode]:00001000
資料庫段起始 [BaseOfData]:001A1000
★優先裝載地址 [ImageBase]:00400000
記憶體中節對齊粒度 :1000
檔案中節對齊粒度 :200
系統所需版本號 :4.0
自定義版本號 :1.0
子系統所需版本號 :4.0
記憶體中PE映像體的尺寸 :20784B
所有頭+節表的大小 :400
校驗和:70B81
檔案系統:IMAGE_SUBSYSTEM_WINDOWS_GUI
DLL特性:0
保留棧的大小 :100000
初始時指定棧大小 :1000
保留堆的大小 :100000
指定堆大小 :1000
載入器標誌 :0
Rva數和大小 :10
分析.節表【Section Table】
序號 名稱 代碼地址 代碼長度 檔案偏移 檔案長度 記憶體屬性
1 00001000 001A0000 00000400 00000000 E0000060
2 001A1000 000636F4 00000400 00062400 E0000060
3 00205000 00001104 00062800 00001200 E0000060
4 .+% 00207000 0000084B 00063A00 0000084B E00000E0
PE格式分析
檔案頭分析【PE Headers】
檔案格式:unknown signature, probably MS-DOS
DOS_HEADER 檔案頭長度 :216
檔案運行.所要求的CPU :Intel 80386 處理器或更高
節數目:5
檔案創建的時間 :2001年8月17日20時53分16秒
OptionalHeader 結構大小 :E0
檔案信息的標記 :10F
標誌字:10B
連線器版本號 :7.0
代碼段長度 :12000
已初.始化數據塊大小 :5000
未初始化數據塊大小 :0
★程式入口 [EntryCodeData]:0001A441
代碼段起始 [BaseOfCode]:00001000
資料庫段起始 [BaseOfData]:00013000
★優先裝載地址 [ImageBase]:01000000
記憶體中節對齊粒度 :1000
檔案中節對齊粒度 :200
系統所需版本號 :5.1
自定義版本號 :5.1
子系統所需版本號 :4.0
記憶體中PE映像體的尺寸 :1A84B
所有頭+節表的大小 :400
校驗和:22ECB
檔案系統:IMAGE_SUBSYSTEM_WINDOWS_CUI
DLL特性:FFFF8000
保留棧的大小 :40000
初始時.指定棧大小 :1000
保留堆的大小 :100000
指定堆大小 :1000
載入器標誌 :0
Rva數和大小 :10
分析節表【Section Table】
序號 名稱 代碼地址 代碼長度 檔案偏移 檔案長度 記憶體屬性
1 .text 00001000 00011F7C 00000400 00012000 E0000020
2 .data 00013000 00004A44 00012400 00000E00 C0000040
3 .rsrc 00018000 00000400 00013200 00000400 40000040
4 .wtq 00019000 00000001 00013600 00000000 E0000020
5 .+% 0001A000 0000084B 00013600 0000084B E00000E0
