??????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????????
????????????? 1 ????????????
? 1. ?????????????
ebx-4 ?????????.data ???????????????????????ebx-4 ? 0 ????31h ? 32h ??????????????
??????????? ebx-4 ? 31h ???????????????????????????? WinExec ???????????????????ExitProcess ???????????????????? ebx-4 ????? 0 ????????????????????????????????????????????????????????????????????????????
??????
??????????????????????? .data ???????????
? 2. ???????????
Characteristics ? rw- d0000040 ???????????????????????
IMAGE_SCN_MEM_SHARED ?????????????????????????
?????
????????????????????????? ebx-4 ? 0 ??????????????? 31h ???????????????????????????ExitProcess ??????????????? 31h ??????????????????
? 3. ?????????????????????
????????????????????? 32h ????????????????????????????????? 32h ?????????????????
? 4. ???????????????
????? 32h ?????????? _decrypt ???????????????????????????? esi ???????????????????????????????
- Windows ?????????????
- ???????????????? 0 ????
- ?? 31h ???????
- ????????
- Windows ?????????????????????????????????????????? 0 ????
- ? 31h ?????????????
- ?????????????
- ?? 32h ???????
- ????????
- Windows ?????????????????????????????????????????? 0 ?????????????????????????????????
- 2 ??????????????????
? 5. ?????????
????????????????
?????????????????????????????????????????????????????????? 8 ?? Web ????????????????????????????????????
- ThreatExpert ???????????????????????????????????????????????????????????????????????????????
- 3 ?? Web ??????????????????????????????????????
- ?? 4 ?? Web ???????????????????
?????????????? 5 ????????????????????????????????????????????????????????????????????????
???????????????????????????????????????????????????????????????????????????????????????????????????????
* ??????????????????? RSS ????????????http://www.symantec.com/connect/ja/item-feeds/blog/2261/feed/all/ja ????????????