Вирусы и другой вредоносный код


Идентификация упаковщика и автоматическая распаковка - часть 5


На момент вызова последний весь код и все данные зараженного файла уже полностью распакованы, поэтому просмотр содержимого сегмента данных немедленно разоблачает вирус по агрессивным текстовым строкам:


001B:00419561 62 6C 65 00 00 00 00 62-61 73 65 36 34 00 00 53 ble....base64..S
001B:00419571 4D 54 50 00 00 00 00 74-63 70 00 74 65 78 74 2F    MTP....tcp.text/
001B:00419581 70 6C 61 69 6E 00 00 69-73 6F 2D 38 38 35 39 2D    plain..iso-8859-
001B:00419591 31 00 00 51 55 49 54 0D-0A 00 00 45 48 4C 4F 20    1..QUIT....EHLO
001B:004195A1 25 73 0D 0A 00 00 00 50-61 73 73 77 6F 72 64 3A    %s.....Password:
001B:004195B1 00 00 00 55 73 65 72 6E-61 6D 65 3A 00 00 00 41    ...Username:...A
001B:004195C1 55 54 48 20 4C 4F 47 49-4E 0D 0A 00 00 00 00 4D    UTH LOGIN......M
001B:004195D1 41 49 4C 20 46 52 4F 4D-3A 20 3C 25 73 3E 0D 0A    AIL FROM: <%s>..
001B:004195E1 00 00 00 52 43 50 54 20-54 4F 3A 20 3C 25 73 3E    ...RCPT TO: <%s>
001B:00419BD1 00 00 00 24 5C 00 00 53-4F 46 54 57 41 52 45 5C    ...$\..SOFTWARE\
001B:00419BE1 4D 69 63 72 6F 73 6F 66-74 5C 57 69 6E 64 6F 77    Microsoft\Window
001B:00419BF1 73 5C 43 75 72 72 65 6E-74 56 65 72 73 69 6F 6E    s\CurrentVersion
001B:00419C01 5C 52 75 6E 00 00 00 20-2F 73 69 6E 63 00 00 64    \Run... /sinc..d
001B:00419C11 62 78 00 68 6C 70 00 6D-68 74 00 77 61 62 00 68    bx.hlp.mht.wab.h

Рисунок 5 распакованный вручную I-Worm.Sobig.f сразу же выдает агрессивность своих намерений характерными текстовыми строками





Начало  Назад  Вперед