鬼仔's Blog

/*
标 题: 【原创】“机器狗”病毒驱动部分逆向分析注释（C代码）
作 者: dream2fly(QQ:838468959)
时 间: 2008.03.13 于深圳科技园
链 接; http://www.dream2fly.net
版 本: 1.0

【软件名称】: 机器狗（病毒）
【下载地址】: http://www.dream2fly.net 或 自己搜索下载
【加壳方式】: 未知壳
【编写语言】: MASM
【使用工具】: IDA
【操作平台】: win2003
【软件介绍】: 穿透冰点型带驱动病毒
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!

*/
阅读全文 »

文章作者：naitm
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）
文章备注：从IDA中复制，稍作修改所得。
ASM
阅读全文 »

软件作者：naitm
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

我偶然得到一个机器狗病毒的样本，于是很邪恶的做了一个生成器。
我想这东西，肯定已经有人做了生成器出来了，但是就是不肯共享出来，那就让我放一个出来吧。

注意：URL内要填的是下载文件的列表
亲测可穿冰点

下载：maker.zip (16.47 KB)

来源：绝情浪子's blog

机器狗的生前身后，曾经有很多人说有穿透还原卡、冰点的病毒，但是在各个论坛都没有样本证据，直到2007年8月29日终于有人在社区里贴出了一个样本。这个病毒没有名字，图标是SONY的机器狗阿宝，就像前辈熊猫烧香一样，大家给它起了个名字叫机器狗。
工作原理
机器狗本身会释放出一个pcihdd.sys到drivers目录，pcihdd.sys是一个底层硬盘驱动，提高自己的优先级接替还原卡或冰点的硬盘驱动，然后访问指定的网址，这些网址只要连接就会自动下载大量的病毒与恶意插件。然后修改接管启动管理器，最可怕的是，会通过内部网络传播，一台中招，能引发整个网络的电脑全部自动重启。
重点是，一个病毒，如果以hook方式入侵系统，接替硬盘驱动的方式效率太低了，而且毁坏还原的方式这 阅读全文 »

报告名称：新版“机器狗”病毒详细分析资料(全部资料的一少部分)
报告类型：病毒原理逆向反汇编分析播报
编写作者：Coderui
编写日期：2008年01月15日
>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
————————————————————————
对比“机器狗”一类新、老版本病毒的特征：

1：新版本“机器狗”病毒采用VC++ 6.0编写，老版本“机器狗”病毒采用汇编编写。
2：新版本“机器狗”病毒采用UPX加壳，老版本“机器狗”病毒采用未知壳。
3：新版本“机器狗”病毒驱动文件很小(1,536 阅读全文 »

鬼仔注：文章末尾所添加的机器狗、IGM、写穿还原的工具（已可以被卡巴检测到是病毒）是在无敌小龙那里看到的，我加了个备用地址。

样本脱壳
OD加载样本explorer.exe，
对GetModuleHandleA下断，参数为NULL时即为入口点处对此函数的调用，
退出CALL之后可以得到入口为 004016ED。
重新加载样本，对004016ED下内存写入断点，中断后StepOver一步，然后在004016ED
下断点，F9运行到入口，DUMP。DUMP之后不关闭OD，让样本处于挂起状态，使用ImportREC修复DUMP
出来的文件的导入表。
修复之后DUMP出来的文件用OD加载出错，使用PEDITOR的rebuilder功能重建PE之后即可用OD加载，说明
脱壳基本成功，但资源部分仍有问题,无法用Reshacker查看
阅读全文 »