拳皇命运秒人挂:文件感染型病毒Expiro的新變種分析

拳皇命运9集  發布時間:2019-05-28 12:37:33

拳皇命运9集 www.chmkl.icu 本文關鍵詞:文件型病毒往往附在

文件型病毒往往附在_新型病毒型疫苗研究進展_wsdl文件簡介(附例子)

在九十年代末和二十世紀初,文件感染型病毒成為了一個主要的威脅。文件感染型病毒將惡意代碼添加到計算機的其他文件之中,如果簡單地通過刪除病毒文件來實現殺毒,被感染的合法文件也會隨之丟失,這樣一來,殺毒工作就變得非常棘手。時至今日,一些文件感染型病毒仍然流行,而且其感染過程變得日益復雜,例如W32/VirRansom、W32/Sality、W32/Xpaj和Expiro。本文就對其中比較典型的Expiro病毒最新變種進行分析。

蠕蟲病毒ramnit是在2010年4月被發現,是一款多組件惡意病毒,它感染windows執行文件和html文件,竊取敏感信息,賽門鐵克 (symantec)在去年7月發表的一份報告中指出,在所有新的惡意軟件感染中,ramnit蠕蟲變種感染約占其中的17.3%。支持對木馬、游戲盜號、密碼竊取、程序、黑客程序、病毒、蠕蟲、未知木馬病毒等各種惡意程序的全面查殺(all in one)。1、支持對木馬、游戲盜號、密碼竊取、程序、黑客程序、病毒、蠕蟲、未知木馬病毒等各種惡意程序的全面查殺(all in one)。

最近,我們發現了一個新的Expiro變種,它的感染方式發生了重大變化。在以前的變體中,Expiro會在入口點修改并獲取代碼,并在原始文件的末尾附加了病毒的payload,是一種典型的附加病毒。

但是,新的變種更改了基址重定位表(Base Relocation Table)的大小,并對內部的地址進行加密。因此,我們只能在正確還原原始的基址重定位表后,才能修復被損壞的文件,不能使用常規附加病毒的修復工具。由于加密了地址,直接增加了對該病毒分析的難度,并且還需要針對這一病毒再研發相應的修復工具。

病毒新變種分析

新型病毒型疫苗研究進展_wsdl文件簡介(附例子)_文件型病毒往往附在

Expiro舊變種感染的文件,其基址重定位表不受影響,如下圖:

并且,舊的變種不會修改重定位表的內容:

新的變種則減小了基址重定位表的大?。ㄒ院焐瓿觶?/p>

wsdl文件簡介(附例子)_文件型病毒往往附在_新型病毒型疫苗研究進展

而且,還會對其中的一部分進行加密:

病毒代碼解密后加載指定文件,創建病毒調用createthread創建線程,同時跳回原始入口點執行。在裸機環境下,受害者在快猴下載站主動下載并運行自己需要的游戲輔助工具,然而受害者并不會注意到其輔助工具解包后的目錄下隱藏著惡意文件lpk.dll,一旦同目錄下的輔助工具運行,lpk.dlll就會被加載執行,繼而lpk.dll會備份自身到受害者計算機磁盤的各個文件夾下,以爭取自身更多的加載執行機會、更長的生命周期、更深的隱藏和潛伏,同時lpk.dll會釋放一個隨機名的exe病毒,這個exe病毒會連接&接受c2服務器的指令并發起ddos攻擊,電腦設備完全淪為nitol的“肉雞”。但是,在頁面上引用不同域的 js 文件卻是沒有任何問題的,這樣,利用異步的加載,請求一個 js 文件,而這個文件的內容是動態生成的(后臺語言字符串拼接出來的),里面包含的是 json with padding(回調函數+數據),之前寫的那個函數就因為新加載進來的這段動態生成的 js 而執行,也就是獲取到了他要獲取的數據。

重定位表的解密過程

解密過程涉及一個簡單的XOR操作。第一步,先使用硬編碼的XOR密鑰對重定位表進行解密:

新型病毒型疫苗研究進展_wsdl文件簡介(附例子)_文件型病毒往往附在

在解密后,將恢復原始基址重定位表的其余部分。EDI寄存器現在包含解密的重新定位數據:

第二步,使用公式Relocation_Address = NewImageBase + Offset + VirtualAddress來計算包含重定位地址的地址。

mapinfo數據采用雙存儲模式,屬性數據存儲在屬性數據的表結構文件(.tab)與屬性數據文件(.dat)中,空間數據保存在空間數據文件(.map) 中,兩者通過交叉索引文件(.id)聯系(如圖1所示)。如圖14-18所示,定位槽13設置在驅動底板10的內部空間10h的前端壁中,定位桿75的調節桿75s可進入并固定在其中。[0034]如圖3和圖4所示,中膽14上設有多個定位槽141,定位槽141與燃燒爐頭17--。

wsdl文件簡介(附例子)_新型病毒型疫苗研究進展_文件型病毒往往附在

3411 變形計算11. 1正常使用階段的撓度計算使用階段的撓度值,按短期荷載效應組合計算,并考慮撓度長期增長系數 e ,對 于0混凝土,e =1. 60,對于部分預應力a類構件,使用階段的撓度計算時,按抗彎剛度 b00.95 ec i0 . 取跨中截面尺寸及配筋情況確定 b0b00.95 ec i0 =0.953.2510101.563310104.8271014mm 2短期荷載組合作用下的撓度值,可簡化成等效均布荷載作用情況計算:2f5 l m s5 129002351.45 10612.04(mm)0s48b48 4.8271014自重產生的撓度值按等效均布荷載作用的情況計算:2f5 lm gk5 129002241.19 1068.26(mm)0o48b48 4.8271014消除自重產生的撓度,并考慮長期影響系數 0 后,正常試用階段的撓度值為:f0f sfg1 . 61 2 . 0 48 . 2 66 . 0 5m m <l 6 0 01 2 9 0 06 0 02 2 m m計算結果表明,使用階段的撓度值滿足《公預規》要求。十、變形計算1.正常使用階段的撓度計算使用階段的撓度值,按短期荷載效應組合計算,并考慮撓度長期增長系數,對于c50混凝土,=1.425,對于部分預應力a類構件,使用階段的撓度計算時,抗彎剛度:短期荷載組合下的撓度值,可簡化為按等效均布荷載作用情況計算:恒載產生的撓度值按等效均布荷載作用情況計算:,值查表6得。十、變形計算1.正常使用階段的撓度計算使用階段的撓度值,按短期荷載效應組合計算,并考慮撓度長期增長系數,對于c50混凝土, 1.425,對于部分預應力a類構件,使用階段的撓度計算時,抗彎剛度:短期荷載組合下的撓度值,可簡化為按等效均布荷載作用情況計算:自重產生的撓度值按等效均布荷載作用情況計算:,值查表6得。

在這里,Relocation_Value = 0x01001354 + (0x00950000 – 0x01000000),因此重定位值為0x00951354。

使用上述方法,我們就可以解密和修復Expiro感染文件的整個重定位表。此外,這還有助于我們在可執行文件的可選頭部(Optional Header)中使用正確的值來計算和替換重定位表的大小文件型病毒往往附在。這樣一來,就能確保感染病毒的文件,在刪除惡意payload后可以恢復正常運行。

SHA-256值

f15b8fc3ca117ab38e3074adc6208666b2189259e447db8202ef85b9bbf537

聲明:該文觀點僅代表作者本人,搜狐號系信息發布平臺,搜狐僅提供信息存儲空間服務。

本文來自互聯網,由機器人自動采編,文章內容不代表本站觀點,請讀者自行辨別信息真偽,如有發現不適內容,請及時聯系站長處理。

    相關閱讀