对Mydoom.a的shimgapi.dll的分析

最新推荐文章于 2024-06-17 17:05:10 发布
最新推荐文章于 2024-06-17 17:05:10 发布
阅读量2k 收藏
点赞数
分类专栏: 技术文档 文章标签: c exchange microsoft byte server socket
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunwear/article/details/287999
版权
本文详细分析了Mydoom.a蠕虫病毒的shimgapi.dll组件,它通过篡改注册表将自身注入到系统进程中,监听3127端口,提供端口转发和后门功能。后门会根据端口占用情况动态调整端口号,并通过特定指令执行远程操作,如端口转发和程序执行。通过对后门代码的逆向工程,揭示了其如何处理连接请求,包括端口判断、数据转发及执行恶意代码的机制。
摘要由CSDN通过智能技术生成
tombkeeper#whitecell.org


Mydoom.a的后门是以dll形式存在的,通过修改注册表相应键值,将自己加载到资源管理器的进程空间中。

正常情况下,注册表应该是这个样子的:
HKEY_CLASSES_ROOT/CLSID/{E6FB5E20-DE35-11CF-9C87-00AA005127ED}/InProcServer32
    <NO NAME>   REG_EXPAND_SZ   %SystemRoot%/System32/webcheck.dll
    ThreadingModel      REG_SZ  Apartment

而Mydoom.a将该处的%SystemRoot%/System32/webcheck.dll替换成自己的shimgapi.dll。

默认情况下,shimgapi.dll后门监听3127端口,如果该端口被占用,则递增,但不大于3198。

该后门提供了两个功能:
1、作为端口转发代理
2、作为后门,接收程序上传并执行

相关代码:
.text:7E1A1C44 sub_7E1A1C44    proc near               ; DATA XREF: start+19o
.text:7E1A1C44
.text:7E1A1C44 WSAData         = WSAData ptr -190h
.text:7E1A1C44
.text:7E1A1C44                 sub     esp, 190h
.text:7E1A1C4A                 push    esi
.text:7E1A1C4B                 push    edi
.text:7E1A1C4C                 call    sub_7E1A1A1F
.text:7E1A1C51                 lea     eax, [esp+198h+WSAData]
.text:7E1A1C55                 push    eax             ; lpWSAData
.text:7E1A1C56                 push    2               ; wVersionRequested
.text:7E1A1C58                 call    ds:WSAStartup
.text:7E1A1C5E                 call    Address
.text:7E1A1C63                 mov     edi, ds:Sleep
.text:7E1A1C69                 mov     esi, 0C37h      ; 监听3127端口
.text:7E1A1C6E
.text:7E1A1C6E loc_7E1A1C6E:                           ; CODE XREF: sub_7E1A1C44+50j
.text:7E1A1C6E                 push    3
.text:7E1A1C70                 push    esi
.text:7E1A1C71                 call    sub_7E1A1B52    ; bind子程序
.text:7E1A1C76                 pop     ecx
.text:7E1A1C77                 pop     ecx
.text:7E1A1C78                 push    400h            ; dwMilliseconds
.text:7E1A1C7D                 call    edi ; Sleep
.text:7E1A1C7F                 cmp     esi, 0C7Eh      ; 端口不大于3198
.text:7E1A1C85                 jle     short loc_7E1A1C93
.text:7E1A1C87                 push    800h            ; dwMilliseconds
.text:7E1A1C8C                 call    edi ; Sleep
.text:7E1A1C8E                 mov     esi, 0C37h
.text:7E1A1C93
.text:7E1A1C93 loc_7E1A1C93:                           ; CODE XREF: sub_7E1A1C44+41j
.text:7E1A1C93     
最低0.47元/天 解锁文章
sunwear
关注
专栏目录
Mydoom病毒分析报告
Hk_Mayfly的博客
10-14 1150
文件检测 信息 值 文件名 1.virus 文件类型 WIN 32 EXE 文件大小 41664 bytes MD5 3d466b0f8ba9f3fe03e137a34d79f682 SHA-256 7c4d73c8c9e394a72cc0eeda7e3ce78340a23f40cb3f682c06715e948c09feca 加壳 upx 2.90 导...
对安全有威胁的注册表位置&WINDOWS自动启动键值详解
07-08 1153
对安全有威胁的注册表位置&WINDOWS自动启动键值详解贴出(规则支持通配符*),供大家参考:自动运行-------------------------HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/Currentversion/Run***HKEY_CURRENT_USER/Software/Microsoft/Windows/Curren
开机启动方法大全
yjh0628的专栏
08-22 934
<br />ShellServiceObjectDelayLoad是一个未公布的注册表项,可以将组件关联到这个键,这样一来,系统启动时间EXPLORER将自动加载目标组件.这就是某些病毒将自己注射到EXPLORER的办法.我们经常会遇到这样的事情,IeXPLORER的首页设置为BLANK,注册表RUN键的值也为空,但就是每隔一会儿有莫名其妙的网页自动弹出,这就是ShellServiceObjectDelayLoad在搞鬼。O21 - 注册表键 ShellServiceObjectDelayLoad (SSO
又遇www.9348.cn劫持IE浏览器
Purpleendurer@CSDN
06-20 8060
endurer 原创2009-06-20 第1版昨天又有一位朋友的电脑中的IE浏览器被hxxp://www.9348.cn劫持,而且症状比前一位还要重:输入Windows登录密码后,要等N久才能进入桌面,有时无法拔号上网,偶尔能上网,又不定期弹广告……系统巨慢~以带命令行提示符的安全模式进入Windows,使用电脑中原来存有的老版本的pe_xscan 扫描 log 并分析,发现如下可疑项:
使用ARK工具ATool清除典型蠕虫MyDoom
最新发布
白帽子佳奇的博客
06-17 786
在长期的日常安全事件监测过程中,安天CERT经常捕获到大量的MyDoom蠕虫样本和传播该蠕虫的钓鱼邮件。受害主机感染MyDoom后会被放置后门,以便攻击者下发后续恶意软件,进行攻击或窃密等操作。MyDoom蠕虫最早发现于2004年,至今仍然活跃,主要利用SMTP协议传播钓鱼邮件。研究人员通过分析发现,MyDoom蠕虫落地后会将自身的前三个区段名替换为随机生成的8个字母,并将其作为钓鱼邮件的附件再次发送,导致每次传播时样本的哈希值均不相同。
Mydoom样本分析报告
Hk_Mayfly的博客
10-17 1089
文件检测 信息 值 文件名 1.virus 文件类型 WIN 32 EXE 文件大小 41664 bytes MD5 3d466b0f8ba9f3fe03e137a34d79f682 SHA-256 7c4d73c8c9e394a72cc0eeda7e3ce78340a23f40cb3f682c06715e948c09feca 加壳 upx 2.90 导...
MyDoom-master.zip
09-09
MyDoom源代码的分析对逆向工程和恶意软件研究至关重要。通过深入研究,安全专家可以了解病毒的工作原理,提高反病毒软件的检测和防御能力。同时,这也提醒我们,必须保持操作系统和应用程序的最新更新,修补已知的...
计算机病毒的重大案例分析.docx
12-22
本文将对计算机病毒的重大案例进行分析,包括 CIH 病毒、梅利莎病毒、爱虫病毒、红色代码病毒、冲击波病毒、巨无霸病毒、MyDoom 病毒、震荡波病毒、熊猫烧香病毒、网游大盗病毒等十大病毒案例,并对它们的爆发年限、...
网络安全意识与案例分析y240221.pptx
02-21
1. **网络漏洞**:如IIS 4.0中存在的ism.dll、msadcs.dll等远程漏洞,这些漏洞可能导致黑客轻易获取系统控制权。 2. **社会工程学攻击**:利用人性弱点实施诈骗,如钓鱼邮件、电话欺诈等。 3. **内部威胁**:员工误...
网络安全意识与案例分析.ppt
06-09
网络安全意识与案例分析 网络安全意识是指在使用计算机网络和信息系统时,保护计算机系统、网络和数据免受各种威胁和攻击的意识和实践。网络安全意识包括信息安全的概述、信息安全的特征、信息安全的重要性、信息...
查询未公开QQ群的资料
热门推荐
sunwear的专栏
12-07 1万+
我们知道group.qq.com这里可以通过关键字和群号来查询群,之后可以查询群的信息。有些群是未公开,所以查看不了。因为这个群有些重要,所以我就想办法要看群内的人。结果还真找到了一个方法。查询结果中包含群名字 人数(男/女) 是否公开 加入条件 详细资料 加入该群 。我们那个群现在是未公开,需验证。我们就点那个加入该群。会连接到 http://group.qq.com/cgi-bin/group
Debugging Tools for Windows中Livekd的设置。
sunwear的专栏
10-25 6804
记得安全焦点上曾经有一个帖子问到过相关的问题,说是缺少livekd.sys。主要就是由于设置不对导致livekd无法使用。有些人是直接把livekd.exe放到windbg目录下运行,当然没有符号文件白费的,今天又有个人遇到了同样的问题。其实设置起来很简单。第一步当然要保证livekd在Debugging Tools for Windows的安装目录下。然后右击我的电脑→属性→高级→环境变量。在用
Microsoft Windows Internals Fourth Edition Dec 2004 internal (吐血强烈推荐!)
sunwear的专栏
07-06 6295
胶印的盗版书好像还220元呢。。。一流的深入的开发人员指导材料,带你进入WINDOWSN核心技术,包含Windows .NET Server 2003, Windows XP, 和 Windows 2000。本书作者是著名的WINDOWS深入分析专家David Solomon 和 Mark Russinovich与Microsoft Windows .NET Server 产品开发组合著,本书包含
Sony Rootkits and Digital Rights Management
sunwear的专栏
11-04 6141
form:http://www.sysinternals.com/blog/2005/10/sony-rootkits-and-digital-rights.htmlLast week when I was testing the latest version of RootkitRevealer (RKR) I ran a scan on one of my systems and was sh
msblast蠕虫主要代码分析
sunwear的专栏
02-15 3993
tombkeeper#whitecell.org;在注册表中写入自启动项:00401250 55                      push ebp:00401251 89E5                    mov ebp, esp:00401253 81ECAC030000            sub esp, 000003AC:00401259 56             
获得一条指令(opcode and opdata)长度的函数(转)
sunwear的专栏
02-15 3845
eyas在xhook中提到了在hook的时候,能获取指令长度是一件很有意义的事。下面是wjl@smth写的一个获取指令长度的函数:/*  使用下面的函数可以“反汇编”一条指令,  可以得到opcode 和 opdata, 以及完整指令的长度  函数返回1后,disasm_len就是指令的长度*/#define C_66           0x00000001       // 66-prefix
终止进程的内幕
sunwear的专栏
03-29 3332
原文: http://www.blogcn.com/user17/pjf/blog/4213145.htmlpjf(jfpan20000@sina.com)    有来信询问进程结束的有关问题,下面就这个问题简单讨论一下(下面的讨论基于2000,其他NT系统也类似)。    首先看看一个应用程序想要强制结束另一个进程所要做的事:首先获得目标的进程ID,接着利用OpenProcess获取进程句柄(确
计算机网络安全:拒绝服务攻击分析与防御
"这是一份关于计算机网络安全的课件,主要探讨了拒绝服务(Denial of Service,DoS)攻击的相关内容,通过真实案例如MyDoom病毒和Slammer蠕虫来阐述这类攻击的危害和工作原理。" 在计算机网络安全领域,拒绝服务...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值