吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 6426|回复: 6
收起左侧

[PC样本分析] 文件夹病毒“360safe”样本分析

[复制链接]
foolish 发表于 2015-11-4 14:14
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
                        0x0 前言
样本来源:http://www.52pojie.cn/thread-427211-1-1.html
样本名称:360Safe.exe
样本MD5:D09B3F56413C15E1B5FB0E65FC9C324D
脱掉壳后MD5:2700C49BE729E140503AB34BF6DF4360
样本使用MFC编写,去掉壳后,分析起来难度不大,进行了简单的分析。

        0x1 样本主文件分析
样本的主函数结构如下:调用三个函数分别执行资源释放、DLL注入、添加启动项,创建两个线程来对移动磁盘、本地硬盘做感染,最后创建一个线程进行网络操作。
1.png
                        
释放资源文件为:C:\WINDOWS\system32\msxmlw.dll
2.png

msxmlw.dll注入到explorer.exe进程中,该dll的功能,请看后面的分析。
3.png

将自身添加为自启动项,键值为360safebox
4.png
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"360safebox"="C:\\Documents and Settings\\xxx\\桌面\\360safe_unpack.exe"

对移动磁盘进行感染
5.png

通过设置注册表值,隐藏文件后缀名、不显示隐藏的文件和文件夹。
6.png

下载列表的地址:http://www.wc86.com/aaaaaa.txt,目前已经失效
7.png

下载并调用可执行程序的代码
8.png

0x2 msxmlw.dll分析                        
该模块被注入到explorer.exe进程中,功能很简单,创建线程,执行下面的复制操作
9.png

0x3 感染方式
                        
遍历磁盘所有目录,将文件夹设置为隐藏属性,将样本自身命名为文件夹名称。
10.png

设置该可执行文件属性为正常,并使用WinExec来调用执行。

0x4 清理方式
  • 删除注册表360safebox相关的所有项目
  • 设置注册表,显示隐藏属性的文件和文件夹、显示文件后缀名
  • 取消文件夹属性中的隐藏
  • 删除所有以文件夹命名的程序。
  • 删除C盘根目录下的全部可执行程序(自己明确知道是正常文件的除外)。





免费评分

参与人数 4威望 +1 热心值 +3 收起 理由
北鱼何为 + 1 我很赞同!
tusdasa翼 + 1 我很赞同!
willJ + 1 棒棒哒
JusonR + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

m13414907 发表于 2015-11-4 16:32
“360safe”这个我好像看过,是某宝的后台软件吧
木木头上 发表于 2015-11-4 16:40
我遇到过删除文件夹(内有其他文件和文件夹),在外面的文件夹无法删除,显示“找不到”。最后用了一个bat脚本删除的。

DEL /F /A /Q \\?\%1  
RD /S /Q \\?\%1

保存为bat文件,直接把文件夹拖到bat文件上就删除了
 楼主| foolish 发表于 2015-11-4 17:29
m13414907 发表于 2015-11-4 16:32
“360safe”这个我好像看过,是某宝的后台软件吧

可能只是名字一样吧,这个样本没有某宝相关的东西
tusdasa翼 发表于 2015-11-6 11:32
我的样本,我来顶。谢谢大牛
Akachiri 发表于 2015-11-8 22:27
顶一下楼主,涨姿势咯~!!!
Mr.Mlwareson_V 发表于 2015-11-13 15:47
分析得很不错,值得学习
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 11:55

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表