武进| 嘉鱼| 安龙| 宜君| 宁德| 荣昌| 云浮| 衡东| 仁怀| 嵩明| 五营| 新巴尔虎左旗| 吕梁| 盐都| 陕西| 马山| 花莲| 栖霞| 宝清| 屏东| 武功| 安吉| 弋阳| 许昌| 五华| 库车| 平陆| 濠江| 大埔| 英吉沙| 安陆| 金堂| 大同县| 西昌| 安岳| 达日| 成县| 秦安| 衢江| 休宁| 商丘| 景宁| 额敏| 孝义| 九龙| 咸阳| 攸县| 沭阳| 姜堰| 邵阳县| 贡山| 青州| 绥阳| 玉门| 阿图什| 上街| 烈山| 高阳| 小金| 青浦| 高碑店| 额尔古纳| 莱山| 潼南| 隆回| 盘锦| 双牌| 遂川| 岐山| 萨嘎| 苏家屯| 肇源| 上饶县| 同仁| 丰镇| 乌兰浩特| 鄯善| 涿鹿| 武宣| 德江| 南京| 谷城| 灵宝| 龙口| 陆丰| 嵊州| 蓬莱| 勉县| 囊谦| 阜新市| 杜尔伯特| 岳池| 曲麻莱| 江夏| 乳山| 周村| 海安| 壤塘| 太仆寺旗| 井研| 龙州| 景谷| 化隆| 丰台| 新野| 民权| 额尔古纳| 德清| 绥江| 德江| 柳河| 阳西| 东丽| 富平| 开平| 玛曲| 福建| 滁州| 洞头| 鸡东| 舟曲| 沙湾| 鄂托克前旗| 北海| 宾川| 离石| 沙圪堵| 建瓯| 枝江| 文昌| 肃宁| 通江| 陆丰| 金湖| 东辽| 张家界| 昂仁| 邕宁| 松潘| 喀什| 遂平| 绿春| 河池| 旺苍| 带岭| 景东| 龙泉| 宜城| 东阳| 甘孜| 沧县| 册亨| 察哈尔右翼后旗| 石泉| 连山| 方山| 黟县| 开平| 武鸣| 道县| 临邑| 石河子| 新疆| 四方台| 大化| 扶绥| 交口| 桂阳| 安丘| 维西| 灵川| 策勒| 绥棱| 高淳| 台南市| 洪洞| 神木| 苍溪| 凯里| 平安| 申扎| 吐鲁番| 东安| 策勒| 道县| 凤翔| 扬州| 理县| 灯塔| 蒲城| 樟树| 公主岭| 汤阴| 佛坪| 嘉荫| 乐平| 聊城| 江陵| 龙游| 江永| 达孜| 益阳| 孟村| 台南县| 烈山| 砚山| 留坝| 修武| 崇明| 天长| 阿坝| 温江| 香格里拉| 敦化| 旬阳| 长白| 顺德| 新丰| 江津| 贵港| 郁南| 牡丹江| 开阳| 香河| 大姚| 酒泉| 沾化| 衡南| 耒阳| 新安| 师宗| 大方| 陆河| 郸城| 永福| 芜湖县| 松桃| 方正| 曲沃| 北川| 久治| 潜山| 五寨| 长岛| 富阳| 金昌| 徽州| 石台| 嫩江| 建湖| 巴南| 日喀则| 揭西| 宣恩| 弥勒| 宝兴| 江宁| 南和| 泰安| 荥经| 邢台| 盐边| 英德| 平凉| 澳门大资本国际赌场

西安“问题电缆”涉事公司曾中标部分高铁项目

2018-04-23 04:13 来源:IT168

  西安“问题电缆”涉事公司曾中标部分高铁项目

  葡京官方爸爸,我还想告诉您,在老区,我买了一双“千层底”的布鞋,今天我就穿上了它。”在问到创作特色消防顺口溜的初衷时,周汝国这样回答道。

在大家的努力下,终于在一处山坡上发现老人。5.一般高层建筑都会设有避难层。

  消防用水1000米一泵到顶尽管各类消防车的举升高度不断刷新,但就目前的技术而言,消防车一般能抵达的最大高度为200米,超过200米的燃烧部分,只能通过建筑内部的固定灭火设备进行扑救,因此建筑物内部供水系统的可靠性至关重要。家里三代都是消防队员,他的父亲退休前是四川省消防总队原副参谋长、灭火专家,外公是原四川消防学校校长。

  (黄家超)(责编:刘天宇(实习生)、张雨)不要会见外部的一切朋友和同学,更不能在外边吃饭,结束时要写出一份好的心得。

缺乏这些信息,消防部门的决策就是风险决策,无法追求最优结果。

  山东小伙子李宝泽便是这个群体中的一员。

    该负责人表示,投拍该部微电影的目的,首先是为了通过微电影这一新的文化形式,鼓舞人、激励人,让人民群众更加深入地了解消防;其次是为庆祝建军90周年献礼。(责编:陈羽、张雨)

  (责编:邝亮桢(实习生)、张雨)

  李宝泽经过一段时间的实践,苦练研磨出了“剁椒鱼头”、“红椒牛肉”、“辣子鸡丁”等一道道兼顾南北菜系不同风味的精品菜肴,他根据战友们的口味喜好,制定出了每周菜单、一日三餐菜谱,做到餐餐不重样,使战友们在餐桌上都能品尝到自己的家乡风味。功夫不负有心人。

  11时30分火彻底扑灭,演练圆满结束。

  凤凰彩票平台当宣传人员提出问题时,小朋友们都积极地回答。

  |  消防工作意味着奉献。

  澳门百老汇娱乐场网址 葡京网址多少 金沙在线网投

  西安“问题电缆”涉事公司曾中标部分高铁项目

 
责编:

吾爱破解 - LCG - LSG |安卓破解|病毒分析|破解软件|www.52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 12287|回复: 186
上一主题 下一主题

西安“问题电缆”涉事公司曾中标部分高铁项目

    [复制链接]
跳转到指定楼层
楼主
发表于 2018-3-20 01:23 | 只看该作者 回帖奖励 |倒序浏览
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
本帖最后由 myangel 于 2018-3-20 02:13 编辑

目录
0x1 样本信息        1
0x2 分析工具和环境        2
0x3 病毒分析        2
3.1 自校验        2
3.2 创建和运行部分        3
3.3 感染部分        6
3.4 自我保护部分        9
0x4 病毒查杀和文件恢复        12
0x5 总结        12

0x1 样本信息


0x2 分析工具和环境

32位Win7 + PEID + OD + IDA

0x3 病毒分析


3.1 自校验

病毒在启动之后,会经过两次加密字符串的解密,只有两次都成功才会真正进入核心功能。

核心功能主要由三个函数进行实现,下面进行详细分析。

3.2 创建和运行部分
检测当前目录是否存在Desktop_.ini文件,如果存在则删除。
接着,病毒会通过检查文件路径、病毒感染标志来确定进当前病毒属于以下三种情况的哪一种情况。
分别进程本身属于原始病毒文件、被感染的可执行文件、以及伪装目标进程三种情况。

1. 原始病毒文件

拷贝自身到 ~/system32/driver/目录,重命名为spcolsv.exe并运行,然后结束当前进程。


2. 被感染的可执行文件

1)在当前目录释放被感染的原始文件
2)创建自删除批处理,并运行
3)拷贝病毒部分到到系统目录,伪装系统服务。


3. 伪装目录进程文件

退出当前模块,执行接其他模块功能。

需要注意的几点是:
1. 病毒的感染标识

感染PE文件后,会在文件的末尾写上标志,格式为:
WhBoy+ 源文件名 + 0x2标记 + 源文件大小+0x1标记


2. 自删除批处理文件


3. 感染文件结构
病毒文件 + 原始文件 + 标记字符串

3.3 感染部分

接下来就是扩散自身,感染其他文件或者感染其他主机,病毒会通过本地文件感染、U盘自动感染以及网络三种方式进行传播。同时,为了防止电脑用户对系统进行还原,在查找到.gho文件时,会对齐进行删除。
3.3.1 感染文件部分(本地)
创建一个线程,遍历所有的磁盘和文件,对文件进行感染。
1)删除GHO备份

2)感染PE文件
感染目标文件后缀类型有:
EXE、SCR、PIF、COM
具体感染请参考感染后的文件格式。感染完毕后,会在当前目录中创建Desktop_.ini,并写入日期(年-月-日),当病毒二次扫描到该目录时,会对当前日期和文件内的日期进行比较,如果时同一天就不再感染当前目录了。


3)感染web文件
感染目标文件后缀类型有:
Htm、html、asp、php、jsp、aspx
在web文件最后加上一句,该内容在文件中是加密的,加密后在写入:



3.3.2 磁盘传播
通过SetTime,每间隔6s复制自身所有磁盘的根目录,重命名为setup.exe。然后写入autorun.inf,注意这两个文件都是隐藏了。



3.3.3 网络传播
利用弱密码通过139/445端口进行登陆。


3.4 自我保护部分

这部分通过设定4分不同时长的定时器进行,然后定时执行下面几种操作。


3.4.1 杀进程和自启动
1)遍历进程和窗口,关闭疑似杀毒软件的窗口和关闭特定杀毒软件或系统工具(间隔1秒)


2)设定自启动和隐藏文件(每隔1秒)


3.4.2 QQ木马(猜测)

病毒会定时检查当前进程是否存在QQ(这部分猜的,偷懒了),如果存在则从服务器一个可执行文件并执行(具体是什么不清楚了,服务器早就没了,反正不是好东西,结合前面看到QQ的字符串,所以我直接跳过这部分,猜测是QQ盗号木马之类的)。


3.4.3 关闭共享

3.4.4 关闭杀毒软件的服务(每隔6s)
关闭常见杀毒软件的服务,并删除杀毒软件的自启动项。(代码太长就不截图了)

0x4 病毒查杀和文件恢复
因为病毒会关闭杀软、任务管理器和注册表查看器等工具,所有会让人一开始无从下手,实际上杀死病毒进程非常容易,只需要两行命令。
1) 打开控制台,通过tasklist和taskkill命令关闭spcolsv.exe进程,然后可以删除spcolsv.exe文件了。
2) 关闭媒体自动播放,防止autorun启动病毒
3) 打开查看隐藏文件选项,把磁盘根目录的隐藏文件删除
4) 至于其他被感染的文件,由于病毒并没有破坏源文件,故可以通过简单编写小工具的方式来恢复被感染的文件。具体恢复思路请参考上面提及部分。

0x5 总结

这是我第一次进行病毒分析,所以挑了一个比较经典、简单的样本来做分析(没错,柿子挑软的来捏),^ _ ^。
当然,这款病毒早已被人分析透了,我在这里写出来意义不大,仅用来给自己加油罢了。
没有系统学习过这方面的知识,所以分析的流程和方法可能不对,希望知道的朋友们能够给点建议。
接下来我会分析其他类型的病毒,希望大家喜欢,谢谢。

最后吐槽一句,发帖排版好麻烦啊。。。。。


panda.7z

23.92 KB, 下载次数: 146, 下载积分: 吾爱币 -1 CB

免费评分

参与人数 85吾爱币 +82 热心值 +81 收起 理由
mimiwuqi + 1 + 1 用心讨论,共获提升!
fengyr + 1 谢谢@Thanks!
未知了 + 1 + 1 用心讨论,共获提升!
sxgcb + 1 + 1 用心讨论,共获提升!
风逝998 + 2 + 1 我很赞同!
mycrackk + 1 + 1 热心回复!
好人家02 + 1 + 1 用心讨论,共获提升!
Renn_Su + 1 + 1 用心讨论,共获提升!
yufan1123 + 1 + 1 谢谢@Thanks!
herolxm + 1 + 1 谢谢@Thanks!
jnez112358 + 1 + 1 谢谢@Thanks!
西风谷真名 + 1 + 1 虽然看不懂 但是肯定很牛逼
bbn + 1 + 1 我很赞同!
feimao100 + 1 + 1 我很赞同!
Cherishao + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
jxscwu + 1 + 1 我很赞同!
53cunD4 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
悠游独自在 + 1 + 1 谢谢@Thanks!
ysmjaycn + 1 + 1 用心讨论,共获提升!
骨科医生 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
shadoll + 1 + 1 用心讨论,共获提升!
筱越技术支持 + 1 + 1 我很赞同!
zzznb + 1 + 1 我很赞同!
超人就是我1 + 1 + 1 热心回复!
福仔 + 1 + 1 我很赞同!
还好有时间 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
chkds + 1 + 1 很适合病毒分析入门啊,thanks
windwli + 1 + 1 加油,挺 厉害 ,好的开始就是成功的三分之一
阿西吧o + 1 + 1 我很赞同!
SomnusXZY + 1 + 1 谢谢@Thanks!
hulin0105 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
YCAPTAIN + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
52bob + 1 + 1 用心讨论,共获提升!
sunbeat + 2 + 1 我很赞同!
shuiyu + 1 我很赞同!
叫我正义老哥 + 1 我很赞同!
戏言19 + 1 + 1 谢谢@Thanks!
samakueakuma + 1 用心讨论,共获提升!
lsboy + 1 + 1 谢谢@Thanks!
hgs1999313 + 1 + 1 虽然看不懂但是感觉好像很厉害的样子
harygary + 1 + 1 谢谢@Thanks!
Mmmmmmmorz + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
badapple + 1 + 1 我很赞同!
Acalanatha + 1 + 1 用心讨论,共获提升!
qq632032833 + 1 + 1 用心讨论,共获提升!
cumcum + 1 + 1 谢谢@Thanks!
半坡海 + 1 + 1 谢谢@Thanks!
yuronghuakai + 1 + 1 热心回复!
a3636326 + 1 + 1 用心讨论,共获提升!
tztt3033 + 1 + 1 用心讨论,共获提升!
艾爱姆Joker + 1 + 1 谢谢@Thanks!
沙朗牛排 + 1 + 1 热心回复!
gink + 1 + 1 我很赞同!
zy1234 + 1 + 1 热心回复!
shuaiqi + 1 + 1 鼓励转贴优秀软件安全工具和文档!
hbsbzb + 1 + 1 哈哈,那时候看到一个小熊猫在桌面上还觉得多可爱
JingAn湛蓝 + 1 学习下 ... 当时太厉害了
leafwalk + 1 + 1 我很赞同!
silvanevil + 1 + 1 谢谢@Thanks!
拾柒丶 + 1 我很赞同!
liphily + 2 + 1 防御永远比事后要简单和重要的多
jinwei201 + 1 + 1 用心讨论,共获提升!
siuhoapdou + 1 + 1 用心讨论,共获提升!
钟欣桐 + 1 + 1 我很赞同!
shanhuyi + 1 + 1 用心讨论,共获提升!
zzzlucas + 1 + 1 用心讨论,共获提升!
审判者压缩 + 1 + 1 热心回复!
yuishang + 1 + 1 热心回复!
429338728 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
zxw0557 + 1 + 1 用心讨论,共获提升!
wushaominkk + 1 + 1 我很赞同!
粉藍弟 + 1 + 1 热心回复!
朱小强007 + 1 用心讨论,共获提升!
WYWZ + 1 + 1 本来想附上病毒作者的微博,想想还是算了,毕竟都过去10多年了
123gh + 1 热心回复!
lookerJ + 1 + 1 热心回复!
qiangu2018 + 1 + 1 我很赞同!
夏雨微凉 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Ouyang520 + 1 + 1 用心讨论,共获提升!
一牛神一 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
luoligongzhu233 + 1 + 1 谢谢@Thanks!
466 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
草薙素紫 + 1 + 1 我很赞同!
UniqueLegend + 1 + 1 用心讨论,共获提升!
610100 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

推荐
发表于 2018-3-20 08:04 | 只看该作者
在当时 这病毒多牛啊,过了N年拿过来,分析,有意思吗?

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

推荐
发表于 2018-3-23 16:25 来自手机 | 只看该作者
122166966 发表于 2018-3-20 08:04
在当时 这病毒多牛啊,过了N年拿过来,分析,有意思吗?

分析的很好,再说楼主第一次做分析,已经很厉害了,不知道评论区某人会不会说话?还说这么多年过去了,分析有意思吗?来,来来,键盘给你,你给我分析!

免费评分

参与人数 5吾爱币 +5 热心值 +5 收起 理由
UserXCH + 1 + 1 我很赞同!
一只硕鼠 + 1 + 1 热心回复!
格局 + 1 + 1 我很赞同!
luxiangfei + 1 + 1 我很赞同!
Xsec + 1 + 1 我很赞同!

查看全部评分

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

板凳
发表于 2018-3-20 01:38 | 只看该作者

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

报纸
 楼主| 发表于 2018-3-20 01:41 | 只看该作者 |楼主
Godfather.Cr 发表于 2018-3-20 01:38
从哪儿搬运的?图片都盗链了

我先在看雪发的帖,然直接复制过来的。
第一次在吾爱发帖,以为这样可以,我再整理以下吧。。

点评

嗯,整理图片上传自己排列一下吧 现在基本的站点都有防盗链,不能直接复制  详情 回复 发表于 2018-3-20 01:43

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

地板
发表于 2018-3-20 01:43 | 只看该作者
myangel 发表于 2018-3-20 01:41
我先在看雪发的帖,然直接复制过来的。
第一次在吾爱发帖,以为这样可以,我再整理以下吧。。

嗯,整理图片上传自己排列一下吧
现在基本的站点都有防盗链,不能直接复制

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

7#
发表于 2018-3-20 02:27 | 只看该作者
变种金猪报喜了吧

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

8#
发表于 2018-3-20 03:48 来自手机 | 只看该作者
很好的分析!

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

9#
发表于 2018-3-20 05:38 | 只看该作者
楼主分析的很详细啊

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

10#
发表于 2018-3-20 07:10 | 只看该作者
不错的帖子,分析的好详细

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

11#
发表于 2018-3-20 07:27 | 只看该作者
顶贴,熊猫烧香啊

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

12#
发表于 2018-3-20 07:46 | 只看该作者
分析的很好,思路很清晰,感谢分享

发帖求助前要善用论坛搜索功能,那里可能会有你要找的答案;

如果你在论坛求助问题,并且已经从坛友或者管理的回复中解决了问题,请把帖子分类或者标题加上【已解决】

如何回报帮助你解决问题的坛友,一个好办法就是给对方加【热心】,加分不会扣除自己的积分,做一个热心并受欢迎的人!

您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则


免责声明:
吾爱破解所发布的一切破解补丁、注册机和注册信息及软件的解密分析文章仅限用于学习和研究目的;不得将上述内容用于商业或者非法用途,否则,一切后果请用户自负。本站信息来自网络,版权争议与本站无关。您必须在下载后的24个小时之内,从您的电脑中彻底删除上述内容。如果您喜欢该程序,请支持正版软件,购买注册,得到更好的正版服务。如有侵权请邮件与我们联系处理。

Mail To:Service@52PoJie.Cn

快速回复 收藏帖子 返回列表 搜索

吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2018-4-19 13:30

Powered by Discuz!

© 2001-2017 Comsenz Inc.

快速回复 返回顶部 返回列表
早点夜宵加盟 早餐加盟项目 早点连锁加盟 早点加盟多少钱 早点加盟培训
美味早餐加盟 早点加盟店有哪些l 早点项目加盟 全球加盟网 早点面条加盟
早餐免费加盟 特色早点小吃加盟 港式早点加盟 早点加盟培训 粗粮早餐加盟
特许加盟 早餐餐饮加盟 湖南特色早点加盟 早餐小吃店加盟 早餐小吃店加盟
百度