木马Trojan-GameThief.Win32.Tibia.gnq

以下是在：http://www.antivirus365.org/PCAntivirus/9776.html翻译的内容

Virus.Win32.Rootkit |木马GameThief.Win32.Tibia.fqb

最新样本提交时间:2010 - 4 - 30八时08分49秒

发现或报告的时间：32

受感染的 *** 作系统平台：

Windows Vista中

视窗98

Windows Server 2003中

Windows Vista中

Virus.Win32.Rootkit |木马GameThief.Win32.Tibia.fqb还发现如下相关的威胁：

1o830u4HHc.exe

82I.sys

7ePGrJVu2.exe

Cdfm36.exe

L52S37Upp1K.exe

NqyD4.ocx

n6rE7QPK3n5R.exe

1t8.sys

bR1d654s.exe

检测时间：2010年4月29日，14时48分07秒

发动机Scaned：8分46秒

样品描述：MD5的：0xFEE71653104694D4EA80F65CF20C3738

的SHA - 1：0xA8D0BB74BD09C22CDA058A70BA0EF71BB31F30EC

文件大小：344233字节

Virus.Win32.Rootkit，木马GameThief.Win32.Tibia.fqb行动：在系统中创建以下文件：

1的％Temp％\ Keygen.exe141，312 bytesMD5：0x288B0F666EADDA417EF74A89126DBA10

的SHA - 1：0xC6CDF57BE4A4BB262A121B7DC8E16E528A7C8199（不可用）2的％Temp％\ launcher.exe31，232 bytesMD5：0xDD40FCD2BC2366C732038B76ACBC0537

的SHA - 1：0x5E29A7F80512269B42B624590BA8769B50806459Virus.Win32.Rootkit - 由Ikarus3的％Temp％\ wnr3.dll

％％程序\启动\ wnr3.dll51，202 bytesMD5：0xD4C4707EB0149BADC80105AA43BE3908

的SHA - 1：0x5AF98D904F6AF719FCC09FB920C1F2C3B2C2C5B2Trojan - GameThief.Win32.Tibia.fqb - 卡巴斯基程序Lab4％％\启动\ wnr3.exe31，232 bytesMD5：0x5A9517E8C7D2099F52FB8A925FAD69AF

的SHA - 1：0x73259EB236F220F6885CA25345CEBD199C69C308（不可用）5样品名称＃1344,233 bytesMD5：0xFEE71653104694D4EA80F65CF20C3738

的SHA - 1：0xA8D0BB74BD09C22CDA058A70BA0EF71BB31F30ECVirus.Win32.Rootkit - 由Ikarus

注释：

的％Temp％是一个变量，它指的是在短期内形成的临时文件夹路径。 默认情况下，这是C：\ Documents和Settings \ [用户名\本地设置\ TEMP \中（Windows NT/2000/XP系统）。

％程序％是一个变量，指的是文件系统目录，其中包含用户的程序组。 一个典型的路径是C：\ Documents和Settings \ [用户名\开始菜单\程序。

记忆ModificationsThere在系统中创建新进程：

工艺NameProcess FilenameMain程序模块Sizewnr3.exe％％\启动\ wnr3.exe69，632字节样品名称＃＃1311,296 byteslauncher.exe的％Temp％\ launcher.exe69，632 bytesKeygen.exe的％Temp％\ keygen.exeN /阿

下面的模块被加载到其他进程（ES）的地址空间：

模块NameModule FilenameAddress空间Detailswnr3.dll％％程序\启动\ wnr3.dllProcess名称：wnr3.exe

进程文件：％％程序\启动\ wnr3.exe

地址空间：0x60000000 - 0x60018000

德国

为了纪念在系统存在，下面的Mutex对象的创建：

_SHuassist.mtx

报道疫区：

联合国王国

波兰

意大利

传播方式：

Windows中的漏洞

文件的创建

PE病毒是指所有感染Windows下PE文件格式文件的病毒.

PE病毒大多数采用Win32汇编编写.

PE病毒对于一个热衷于病毒技术的人来说,是必须掌握的.

只有在PE病毒中,我们才能真正感受到高超的病毒技术.

编写Win32病毒的几个关键

Api函数的获取

不能直接引用动态链接库

需要自己寻找api函数的地址,然后直接调用该地址

一点背景:在PE Loader装入我们的程序启动后堆栈顶的地址是是程序的返回地址,肯定在Kernel中! 因此我们可以得到这个地址,然后向低地址缩减验证一直到找到模块的起始地址,验证条件为PE头不能大于4096bytes,PE header的ImageBase值应该和当前指针相等.

病毒没有.data段,变量和数据全部放在.code段

编写Win32病毒的几个关键

偏移地址的重定位

Call delta

delta: pop ebp

sub ebp,offset delta

那么变量var1的真正偏移地址为:var1+ebp

对PE文件格式的了解

编写Win32病毒的几个关键

病毒如何感染其他文件

在文件中添加一个新节

该新节中添加病毒代码和病毒执行后的返回Host程序的代吗

修改文件头中代码开始执行位置(AddressOfEntryPoint)指向新添加的节,以便程序运行后先执行病毒代码.

PE病毒感染其他文件的方法还有很多,譬如PE病毒还可以将自己分散插入到每个节的空隙中等等,这里不在一一叙述.

PE文件格式一览

Section n

Section ...

Section 2

Section 1

Section table

PE header

DOS stub

DOS MZ header

PE header

Pe header 由三部分组成

字串 "PE\0\0"(Signature)

映像文件头(FileHeader)

可选映像头(OptionalHeader)

字串 "PE\0\0"

Signature 一dword类型,值为50h, 45h, 00h, 00h(PE\0\0). 本域为PE标记,我们可以此识别给定文件是否为有效PE文件.

这个字串在文件中的位置(e_lfanew),可以在DOS程序头中找到它的指针,它占用四个字节,位于文件开始偏移3CH字节中.

映像文件头

该结构域包含了关于PE文件物理分布的信息, 比如节数目,文件执行机器等.

它实际上是结构IMAGE_FILE_HEADER的简称.

映像文件头结构

IMAGE_FILE_HEADER STRUCT

___ Machine WORD

___ NumberOfSections WORD

___ TimeDateStamp dd

___ PointerToSymbolTable dd

___ NumberOfSymbols dd

___ SizeOfOptionalHeader WORD

___ Characteristics WORD

IMAGE_FILE_HEADER ENDS

映像文件头的基本信息

关于文件信息的标记,比如文件是exe还是dll

2

Characteristics *

7

可选头的大小

2

SizeOfOptionalHeader

6

符号数目

4

NumberOfSymbols

5

COFF符号表的偏移

4

PointerToSymbleTable

4

生成该文件的时间

4

TimeDataStamp

3

文件中节的个数

2

NumberOfSection **

2

机器类型,x86为14ch

2

Machine *

1

描述

大小(字节)

名字

顺序

可选映像头

optional header 结构是 IMAGE_NT_HEADERS 中的最后成员.包含了PE文件的逻辑分布信息.该结构共有31个域,一些是很关键,另一些不太常用.这里只介绍那些真正有用的域.

这儿有个关于PE文件格式的常用术语: RVA

RVA 代表相对虚拟地址.它是相对虚拟空间里的一个地址 .

举例说明,如果PE文件装入虚拟地址(VA)空间的400000h处,且进程从虚址401000h开始执行,我们可以说进程执行起始地址在RVA 1000h.每个RVA都是相对于模块的起始VA的.

可选映像头

文件中节对齐的粒度.

FileAlignment

内存中节对齐的粒度.

SectionAlignment

PE文件的优先装载地址.比如,如果该值是400000h,PE装载器将尝试把文件装到虚拟地址空间的400000h处.若该地址区域已被其他模块占用,那PE装载器会选用其他空闲地址.

ImageBase

PE装载器准备运行的PE文件的第一个指令的RVA.若要改变整个执行的流程,可以将该值指定到新的RVA,这样新RVA处的指令首先被执行.

AddressOfEntryPoint *

描述

名字

可选映像头

NT用来识别PE文件属于哪个子系统.

Subsystem

一IMAGE_DATA_DIRECTORY 结构数组.每个结构给出一个重要数据结构的RVA,比如引入地址表等.

DataDirectory

所有头+节表的大小,也就等于文件尺寸减去文件中所有节的尺寸.可以以此值作为PE文件第一节的文件偏移量.

SizeOfHeaders

内存中整个PE映像体的尺寸.

SizeOfImage

win32子系统版本.若PE文件是专门为Win32设计的,该子系统版本必定是4.0否则对话框不会有3维立体感.

MajorSubsystemVersion

MinorSubsystemVersion

描述

名字

DataDirectory数据目录

一个IMAGE_DATA_DIRECTORY数组,里面放的是这个可执行文件的一些重要部分的RVA和尺寸,目的是使可执行文件的装入更快,数组的项数由上一个域给出.IMAGE_DATA_DIRECTORY包含有两个域,如下:

IMAGE_DATA_DIRECTORY

VitualAddress DD

Size DD

IMAGE_DATA_DIRECTORY ENDS

节表

节表其实就是紧挨着 PE header 的一结构数组.该数组成员的数目由 file header (IMAGE_FILE_HEADER) 结构中 NumberOfSections 域的域值来决定.节表结构又命名为 IMAGE_SECTION_HEADER.

结构中放的是一个节的信息,如名字,地址,长度,属性等.

IMAGE_SECTION_HEADER

本节原始数据在文件中的位置

4

PointerToRawData *

5

本节的原始尺寸

4

SizeOfRawData *

4

这个值+映像基地址=本节在内存中的真正地址.OBJ中无意义.

4

Virtual *

3

OBJ文件用作表示本节物理地址EXE文件中表示节的真实尺寸

4

PhysicalAddress或VirtualSize

2

节名

8

Name *

1

描述

大小(字节)

名字

顺序

IMAGE_SECTION_HEADER

节属性

4

Characteristics *

10

本节在行号表中的行号数目

2

NumberOfLinenumbers

9

本节要重定位的数目

2

NumberOfRelocations

8

行号偏移

4

PointerToLinenumbers

7

OBJ中表示该节重定位信息的偏移EXE文件中无意义

4

PointerToRelocations

6

描述

大小(字节)

名字

顺序

节

"节(Section)"跟在节表之后,一般PE文件都有几个"节".比较常见的有:

代码节

已初始化的数据节

未初始化的数据节

资源节

引入函数节

引出函数节

代码节

代码节一般名为.text或CODE,该节含有程序的可执行代码.

每个PE文件都有代码节

在代码节中,还有一些特别的数据,是作为调用映入函数之用.如:

Call MessageBoxA的调用,反汇编后该指令被换为call 0040101A,而地址0040101A仍在.text中,它放有一个跳转指令jmp dword ptr[0040304c],即这条跳转指令的目的地址处于.idata节中的0040304C处,其中放的才是MessageBoxA的真正地址,如下图:

已初始化的数据节

这个节一般取名为.data或DATA

已初始化的数据节中放的是在编译时刻就已确定的数据.如Hello World 中的字符串"Hello World!".

未初始化的数据节

这个节的名称一般叫.bbs.

这个节里放有未初始化的全局变量和静态变量.

资源节

资源节一般名为.rsrc

这个节放有如图标,对话框等程序要用到的资源.

资源节是树形结构的,它有一个主目录,主目录下又有子目录,子目录下可以是子目录或数据.

都是一个IMAGE_RESOURCE_DIRECTORY结构.结构如下:

IMAGE_RESOURCE_DIRECTORY 结构

以ID标识的资源数

2

NumberOfldEntries

6

以名字标识的资源数

2

NumberOfNamedEntries

5

次版本号

2

MinorVersion

4

主版本号

2

MajorVersion

3

资源生成时间

4

TimeDateStamp

2

通常为0

4

Characteritics

1

描述

大小(字节)

名字

顺序

引入函数节

一个引入函数是被某模块调用的但又不在调用者模块中的函数

这个节一般名为.idata,也叫引入表.

它包含从其它(系统或第三方写的)DLL中引入的函数,例如user32.dll,gdi32.dll等.

它的开始是一个IMAGE_IMPORT_DESCRIPTOR数组.这个数组的长度不定,但他的最后一项是全0,可以以此判断数组的结束.

引出函数节

什么是引出函数节

引出函数节是用来向系统提供导出函数的名称,序号和入口地址等信息,以便Windows装载器通过这些信息来完成动态链接的过程.

了解引出函数节对于学习病毒来说,是极为重要的.

Api函数地址的获取与引出函数节息息相关.

引出函数节

通过Api函数名查找其地址

(1)定位到PE文件头

(2)从PE文件头中的课选文件头中取出数剧目录表的第一个数据目录,得到导出表的地址.

(3)从导出表的NumberOfNames字段得到以命名函数的总数,并以这个数字做微循环的次数来构造一个循环.

(4)从AddressOfNames字段指向的函数名称地址表的第一项开始,在循环中将每一项定义的函数名与要查找的函数名比较,如果没有任何一个函数名符合,说明文件中没有指定名称的函数.

(5)如果某一项定义的函数名与要查找的函数名符合,那么记住这个函数名在字符串地址表中的索引值,然后在AddressOfNameOrdinals指向的数组中以同样的索引值去除数组项的值,假如该值为m.

(6)以m值作为索引值,在AddressOfFunctions字段指向的函数入口地址表中获取的RVA就是函数的入口地址,当函数被装入内存后,这个RVA值加上模块实际装入的基址(ImageBase),就得到了函数真正的入口地址.

重大突破：唯一能在30分钟内将DVD影片拷贝成并烧录为 VCD/MPEG/SVCD

http://soft.51ct.cn/new/WinCopyDVD_Full.exe

软件简介：

这是世界上唯一一款能够在30分钟内将DVD影片拷贝成为 VCD/MPEG/SVCD 格式，并烧录于CDR上，或保存在电脑硬碟上的软件。

WinCopyDVD 在使用上非常简单易用，您无需任何的专业知识，只需在所需功能上轻击按钮，即可实现DVD影的拷贝与烧录。

虽然它简单易用，但功能强大，并可依据您的喜好，来决定需要拷贝的章节，字幕，和音频的语言。

WinCopyDVD 能够在30分钟内完成一整部DVD影片的转化和烧录，这是世界上独一无二的！它的先进技术为您节省了宝贵的时间，为您的娱乐生活增添了欢快与乐趣！

WinCopyDVD 在给您带来高速的同时，也为您带来了高质量画质以及DolbySurround技术的卓越声效！通过它转化的VCD影片，完全可以与DVD影片媲美，令你体会DVD的视听享受！

对于一些自行所制作且没有完全符合DVD规格的DVD影片可能无法正常转换。

官方说明文件

WinCopyDVD 是一款对DVD影片格式进行转换和拷贝的软件。

WinCopyDVD的四大世界领先技术:

1、依靠ZJMedia独有的SinglePass、DirectEncode、BlockZoom三项专利技术，WinCopyDVD 成为了世界上唯一一款能在半小时之内完成DVD拷贝成VCD工作的软件。而目前市场上的同类软件，完成同类功能都需要3－6个小时。WinCopyDVD可以大大提高拷贝的速度和效率，节省您的宝贵时间。

2、独有的HignQ专利画质提升技术，使得WinCopyDVD从DVD拷贝出的VCD也能取得有如DVD般清晰、柔和的画质。并且WinCopyDVD支持DolbySurround技术，使得转化出的VCD也能具有DVD般的音响效果。WinCopyDVD让您在VCD上体会DVD的视听享受。

3、独有的OnePassBurn技术，使得您可以一次性刻录VCD/SVCD而无需占用大量的硬碟临时空间。刻录生成的VCD/SVCD可以在几乎所有家用DVD播放机上播放，当然，您也可以用您的电脑观看这些VCD/SVCD。

4、依靠独特的动态编码VCD技术，WinCopyDVD可以让您把整张DVD拷贝到一张CDR中，成为一张独有的动态编码VCD，而画质、音质都不会受太大影响。同时，动态编码技术的先进性，从而彻底消除VCD中特有的马赛克现象。而且，99％的家用DVD播放机都可以正确播放这种动态编码VCD。

试用版与正式版的差异：

正式版(Standard)同时具有转档与 VCD 直接烧录功能，而试用版只有转档功能。

Name:www.51ct.cn

Code:3809BFE4E6F7C3FABE2FEB1A9D33ADE1569D499F07B6E8FD

---