记录对一个硬盘逻辑锁的简单分析
本帖最后由 yuhan694 于 2020-4-8 09:08 编辑都是些很基础的操作,大佬们别介意{:301_971:}
样本地址:https://www.52pojie.cn/thread-1150547-1-1.html先用沙盘分析一波
用到的软件:Ollydbg 和 PChunter
硬盘逻辑锁(慎点).exe大致运行过程如下:
硬盘逻辑锁(慎点).exe主要是用来在运行目录下生成._cache_硬盘逻辑锁(慎点).exe和RCX1B14.tmp 并创建._cache_硬盘逻辑锁(慎点).exe 这个进程
._cache_硬盘逻辑锁(慎点).exe 的行为分析如下:
可以看到._cache_硬盘逻辑锁(慎点).exe 可能通过修改硬盘RAW来安装引导型病毒(Bootkit)
我们用od打开._cache_硬盘逻辑锁(慎点).exe看看,
在打开之前,怕被锁可以先配置一下PCHunter
用od打开样本,根据提示内容我们在字符串搜索一下xiao会发现没有什么有用的信息,那么Ctrl+M搜索一下xiao,我们右键下个硬件访问断点
F9运行,程序断了下来
可以在堆栈看到两个数字(参考https://www.52pojie.cn/thread-1126170-1-1.html),我们F8往下走
来自这里我们看到了关键信息,直接去段首下断分析
004251A5 55 push ebp
004251A6 8BEC mov ebp,esp
004251A8 81EC 3C000000 sub esp,0x3C
004251AE C745 FC 0000000>mov dword ptr ss:,0x0
004251B5 C745 F8 0000000>mov dword ptr ss:,0x0
004251BC C745 F4 0000000>mov dword ptr ss:,0x0
004251C3 C745 F0 0000000>mov dword ptr ss:,0x0
004251CA 6A 00 push 0x0
004251CC 6A 00 push 0x0
004251CE 6A 00 push 0x0
004251D0 68 01000000 push 0x1
004251D5 BB 90000000 mov ebx,0x90
004251DA E8 50140000 call __cache_.0042662F
004251DF 83C4 10 add esp,0x10
004251E2 68 04000080 push 0x80000004
004251E7 6A 00 push 0x0
004251E9 68 F3914000 push __cache_.004091F3 ; ASCII "12"
004251EE 68 01000000 push 0x1
004251F3 BB 68010000 mov ebx,0x168
004251F8 E8 32140000 call __cache_.0042662F
004251FD 83C4 10 add esp,0x10
00425200 8945 EC mov dword ptr ss:,eax
00425203 8B45 EC mov eax,dword ptr ss:
00425206 50 push eax
00425207 8B5D FC mov ebx,dword ptr ss:
0042520A 85DB test ebx,ebx
0042520C 74 09 je X__cache_.00425217
0042520E 53 push ebx
0042520F E8 FD130000 call __cache_.00426611
00425214 83C4 04 add esp,0x4
00425217 58 pop eax
00425218 8945 FC mov dword ptr ss:,eax
0042521B 68 04000080 push 0x80000004
00425220 6A 00 push 0x0
00425222 68 FE914000 push __cache_.004091FE ; ASCII "13"
00425227 68 01000000 push 0x1
0042522C BB 68010000 mov ebx,0x168
00425231 E8 F9130000 call __cache_.0042662F
00425236 83C4 10 add esp,0x10
00425239 8945 EC mov dword ptr ss:,eax
0042523C 8B45 EC mov eax,dword ptr ss:
0042523F 50 push eax
00425240 8B5D F8 mov ebx,dword ptr ss:
00425243 85DB test ebx,ebx
00425245 74 09 je X__cache_.00425250
00425247 53 push ebx
00425248 E8 C4130000 call __cache_.00426611
0042524D 83C4 04 add esp,0x4
00425250 58 pop eax
00425251 8945 F8 mov dword ptr ss:,eax
00425254 68 01030080 push 0x80000301
00425259 6A 00 push 0x0
0042525B 68 3F420F00 push 0xF423F
00425260 68 01030080 push 0x80000301
00425265 6A 00 push 0x0
00425267 68 A0860100 push 0x186A0
0042526C 68 02000000 push 0x2
00425271 BB 94000000 mov ebx,0x94
00425276 E8 B4130000 call __cache_.0042662F
0042527B 83C4 1C add esp,0x1C
0042527E 68 01030080 push 0x80000301
00425283 6A 00 push 0x0
00425285 50 push eax
00425286 68 01000000 push 0x1
0042528B BB 68010000 mov ebx,0x168
00425290 E8 9A130000 call __cache_.0042662F ; 生成随机数
00425295 83C4 10 add esp,0x10
00425298 8945 E8 mov dword ptr ss:,eax
0042529B 8B45 E8 mov eax,dword ptr ss:
0042529E 50 push eax
0042529F 8B5D F4 mov ebx,dword ptr ss:
004252A2 85DB test ebx,ebx
004252A4 74 09 je X__cache_.004252AF
004252A6 53 push ebx
004252A7 E8 65130000 call __cache_.00426611
004252AC 83C4 04 add esp,0x4
004252AF 58 pop eax
004252B0 8945 F4 mov dword ptr ss:,eax
004252B3 68 04000080 push 0x80000004
004252B8 6A 00 push 0x0
004252BA 8B45 F4 mov eax,dword ptr ss:
004252BD 85C0 test eax,eax
004252BF 75 05 jnz X__cache_.004252C6
004252C1 B8 09924000 mov eax,__cache_.00409209
004252C6 50 push eax
004252C7 68 01000000 push 0x1
004252CC BB 64010000 mov ebx,0x164
004252D1 E8 59130000 call __cache_.0042662F
004252D6 83C4 10 add esp,0x10
004252D9 8945 E8 mov dword ptr ss:,eax
004252DC 8955 EC mov dword ptr ss:,edx
004252DF 68 04000080 push 0x80000004
004252E4 6A 00 push 0x0
004252E6 8B45 FC mov eax,dword ptr ss:
004252E9 85C0 test eax,eax
004252EB 75 05 jnz X__cache_.004252F2
004252ED B8 09924000 mov eax,__cache_.00409209
004252F2 50 push eax
004252F3 68 01000000 push 0x1
004252F8 BB 64010000 mov ebx,0x164
004252FD E8 2D130000 call __cache_.0042662F
00425302 83C4 10 add esp,0x10
00425305 8945 E0 mov dword ptr ss:,eax
00425308 8955 E4 mov dword ptr ss:,edx
0042530B DD45 E8 fld qword ptr ss:
0042530E DC4D E0 fmul qword ptr ss: ; 乘12
00425311 DD5D D8 fstp qword ptr ss:
00425314 68 04000080 push 0x80000004
00425319 6A 00 push 0x0
0042531B 8B45 F8 mov eax,dword ptr ss:
0042531E 85C0 test eax,eax
00425320 75 05 jnz X__cache_.00425327
00425322 B8 09924000 mov eax,__cache_.00409209
00425327 50 push eax
00425328 68 01000000 push 0x1
0042532D BB 64010000 mov ebx,0x164
00425332 E8 F8120000 call __cache_.0042662F
00425337 83C4 10 add esp,0x10
0042533A 8945 D0 mov dword ptr ss:,eax
0042533D 8955 D4 mov dword ptr ss:,edx
00425340 DD45 D8 fld qword ptr ss:
00425343 DC45 D0 fadd qword ptr ss: ; 加13
00425346 DD5D C8 fstp qword ptr ss:
00425349 68 01060080 push 0x80000601
0042534E FF75 CC push dword ptr ss:
00425351 FF75 C8 push dword ptr ss:
00425354 68 01000000 push 0x1
00425359 BB 68010000 mov ebx,0x168
0042535E E8 CC120000 call __cache_.0042662F ; 输出密码
00425363 83C4 10 add esp,0x10
00425366 8945 C4 mov dword ptr ss:,eax
00425369 8B45 C4 mov eax,dword ptr ss:
0042536C 50 push eax
0042536D 8B5D F0 mov ebx,dword ptr ss:
00425370 85DB test ebx,ebx
00425372 74 09 je X__cache_.0042537D
00425374 53 push ebx
00425375 E8 97120000 call __cache_.00426611
0042537A 83C4 04 add esp,0x4
0042537D 58 pop eax
0042537E 8945 F0 mov dword ptr ss:,eax
00425381 68 0A924000 push __cache_.0040920A ; ASCII " xiao yang"
00425386 FF75 F4 push dword ptr ss:
00425389 68 1B924000 push __cache_.0040921B ; ASCII " jia QQ2696362817"
0042538E B9 03000000 mov ecx,0x3
00425393 E8 B1FDFFFF call __cache_.00425149
00425398 83C4 0C add esp,0xC
0042539B 8945 EC mov dword ptr ss:,eax
0042539E 68 04000080 push 0x80000004
004253A3 6A 00 push 0x0
004253A5 8B45 EC mov eax,dword ptr ss:
004253A8 85C0 test eax,eax
不是很擅长分析,密码就是生成一个随机数*12+13(这个随机数会在提示的后六位显示出来)
处置建议
删除自启动注册表项
[*]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\System
[*]
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\Synaptics Pointing Device Driver
删除文件
[*]
%HOMEPATH%\AppData\Local\Temp\._cache_硬盘逻辑锁(慎点).exe
[*]
%HOMEPATH%\AppData\Local\Temp\E_N60005\dp1.fne
[*]
%HOMEPATH%\AppData\Local\Temp\E_N60005\spec.fne
[*]
%HOMEPATH%\AppData\Local\Temp\._cache_硬盘逻辑锁(慎点).exe
[*]
%HOMEPATH%\AppData\Local\Temp\E_N60005\iext.fnr
[*]
%HOMEPATH%\AppData\Local\Temp\E_N60005\shell.fne
[*]
%HOMEPATH%\AppData\Local\Temp\E_N60005\krnln.fnr
[*]
%HOMEPATH%\AppData\Local\Temp\._cache_硬盘逻辑锁(慎点).exe
[*]
C:\Program Files\360.dll
lizf2019 发表于 2020-4-7 18:55
就是
但小学生做不出来啊
按照“处置建议”里面来看
多半是非常简易的代码写出来的
而且还有易语言支持库文件
有可能就是个无名模块拿来干坏事的小学生
毕竟易语言的无名模块还没清干净
(不过我没程序,不太确定) 666666666 这么快呀,{:1_893:}
下午刚看到有人求助 感谢分享。楼主辛苦。 学习一下,感谢分享 建议楼主把OD里的QQ马赛克一下……否则容易被罚
我是不是很欠{:301_971:} 感谢分享 庞晓晓 发表于 2020-4-7 17:41
病毒作者又是小学生,QQ号和提示码不分开,别人想加QQ也不知道QQ是多少
就是
但小学生做不出来啊 本帖最后由 yuhan694 于 2020-4-7 19:24 编辑
EXP2333 发表于 2020-4-7 18:33
建议楼主把OD里的QQ马赛克一下……否则容易被罚
我是不是很欠
会被罚的吗???可是我看其他人也没打马赛克。。