灰鸽子木马来源追踪

【目     标】:N/A
【工     具】:OllyDBG 1.1
【任     务】:木马来源追踪
【操作平台】:Windows xp sp2
【作     者】: LOVEBOOM[DFCG][FCG][CUG]
【相关链接】: N/A
【简要说明】: 今天在硬盘里找到个木马，用几款杀毒软件杀了下没有结果。自己用OD看了下，发现是灰鸽子的修改版(很反感灰鸽子的作者,搞的到处是“垃圾”)。在网上简单的搜索了一下没有发现怎么揪出放木马的者的信息的相关文章，于是乎自己大概的分析了，写出来方便各位以后找源头。
【详细过程】:

今天安装软件时，系统提示没有多少空间可用，于是整理了下硬盘，这一整就整出了这么个东西，在程序文件夹下发现一个可疑的程序，看看生成日期，嗯，不错，程序差不多放了一个月了。看看程序的相关信息先：

%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%

程序路径:             c:\program files\message\message.exe

属性:                   隐藏

创建时间:             2005年12月12日, 16:19:21

修改时间:             2005年9月9日, 20:25:20

文件大小:             301 KB (308,920 字节)

PEID扫描:           ASPack 2.x (without poly) -> Alexey Solodovnikov

%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%

一看名字感觉就是不对劲了，十有九是中木马或病毒了，把自己的卡巴更新一下病毒库，查一下提示没有病毒，在网上下一个江民在线查毒，查一下也提示没有病毒。自己想了下，没有可能的我自己在那天根本没有装过这类可疑的软件。看来得自己动手了，用lordpe 看看程序信息：

%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%

程序入口:             000CA000h

section name:         fuck you

%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%%

看来好像有人和我有深仇大恨了(我电脑里没有什么宝贝，最多只能拿我到一些未公布的脱壳和文章而已)。呵呵，既然来了，不管是敌是友，我都会接待的:- )。打开OD看了下入口信息，初步可以判断是和aspack变形版加的壳，是aspack加的壳就好办，把自己的脱壳脚本翻出来，运行到OEP处:

004A5AAC   .  55            PUSH EBP

004A5AAD   .  8BEC          MOV EBP,ESP

004A5AAF   .  B9 06000000   MOV ECX,6

004A5AB4   >  6A 00         PUSH 0

呵呵，DELPHI写的东西，在OEP不远处可以看到很有用的东西了。

004A5ACB   .  68 465E4A00   PUSH 004A5E46

004A5AD0   .  64:FF30       PUSH DWORD PTR FS:[EAX]

004A5AD3   .  64:8920       MOV DWORD PTR FS:[EAX],ESP

004A5AD6   .  E8 99A8FFFF   CALL 004A0374

004A5ADB   .  8D55 EC       LEA EDX,DWORD PTR SS:[EBP-14]

004A5ADE   .  B8 605E4A00   MOV EAX,004A5E60                         ;  ASCII "www.huigezi.net"

004A5AE3   .  E8 24BBFFFF   CALL 004A160C

004A5AE8   .  8D55 E4       LEA EDX,DWORD PTR SS:[EBP-1C]

004A5AEB   .  33C0          XOR EAX,EAX

004A5AED   .  E8 AAD0F5FF   CALL 00402B9C

004A5AF2   .  8B45 E4       MOV EAX,DWORD PTR SS:[EBP-1C]

004A5AF5   .  8D55 E8       LEA EDX,DWORD PTR SS:[EBP-18]

004A5AF8   .  E8 533DF6FF   CALL 00409850

004A5AFD   .  8B55 E8       MOV EDX,DWORD PTR SS:[EBP-18]

004A5B00   .  B8 88BF4A00   MOV EAX,004ABF88

004A5B05   .  E8 E6EEF5FF   CALL 004049F0

004A5B0A   .  A1 88BF4A00   MOV EAX,DWORD PTR DS:[4ABF88]

004A5B0F   .  E8 48F3F5FF   CALL 00404E5C

004A5B14   .  50            PUSH EAX                                 ; /String2 = FFFFFFFF ???

004A5B15   .  68 705E4A00   PUSH 004A5E70                            ; |String1 = "IExplore.exe"

004A5B1A   .  E8 6D16F6FF   CALL 0040718C                            ; \lstrcmpiA

004A5B1F   .  85C0          TEST EAX,EAX

004A5B21   .  0F94C0        SETE AL

[1] [2] [3] 下一页