xieyi1393 发表于 2020-5-14 12:00

EVE蠕虫病毒(WinLOG)样本分析

本帖最后由 xieyi1393 于 2020-5-14 12:24 编辑

本文为作者原创,未经允许禁止 事情来龙去脉:
      最近学校里上信息技术课,眼尖的我发现,咦?任务管理器,CMD打不开?这其中必有诈(而且一定是王炸:lol),经过询问,老师并没有进行相关的设置,此时,D盘的某个文件引起了我的注意.文件名EveRar.exe,如此熟悉的前缀,怎么不能引起怀疑呢?再一看文件信息,产品名称winlog,原始文件名EXPL0RER.EXE(中间是数字"0"而不是"O"),文件版本192.168.0.001,我就知道这次学校电脑遇到麻烦了.没错,就是那不要*的货,叫EVE(或者叫WinLOG)的蠕虫病毒
       之前遇到这个病毒,应该是2年前读初中的时候,班上电脑莫名出现任务管理器/CMD/Powershell闪退,文件管理器打开之后突然又闪退接着才打开,对异常情况及其敏感的我马上觉得不对劲?卧*这十有八九有病毒,果然,安装完火绒一扫果真扫出来,就是今天咱们要宰杀的这只"鸡"----WinLog蠕虫病毒.只可惜当时没给他备份一下,要不然我想看看是不是出自一个人之手(比如同一个CC服务器或者同一种代码风格什么的)
       好了BB了这么多,开始正式分析,不对,还差几句:
请注意:本次分析使用虚拟环境分析,普通用户切勿作死用自己电脑跑病毒给黑客送ROU鸡(要作我也拦不住)
同时,请各位同行注意:此病毒有一定的感染性!会感染非系统盘EXE文件!切勿真机运行!

OwO,那咱们开始吧

分析使用环境:
Windows Server 2012 R2(由于XX云不支持Windows7)
上传文件到服务器,使用ExeInfoPE拔毛(查壳)
https://api.dj.ci/image/5ebc16c2e218f
咱们先给这只鸡拔毛,确认是这只鸡属于未加壳VisualBasic程序的品种,于是咱们用VBD杀鸡(反编译)工具,得到源码
既然得到了源码文件,那咱们就开始分析啦
既然是鸡,必定也怕黄鼠狼.这只鸡(此病毒)会判断旁边是不是有黄鼠狼(此时是否开启下列窗口/进程)
窗口名/类名包含:
Wind (Windows工具)注册表编(注册表编辑器,或包含regedi)004035DCh(根据上下文判断应该是命令行程序,consol) 360杀毒(q360sa) twomcc(wopt,不知道啥东西)
以及访问标题带有"查杀" "卡巴" "瑞星" "病毒" "360" "注册表" "隐藏" "金山" "修复" "专杀" "worm"的网页
发现会自动杀掉黄鼠狼关闭
相关代码:
https://api.dj.ci/image/5ebc1672a9047
然后接着往下看,Proc_0_9_406A40为鸡跑别人家鸡舍感染U盘程序
鸡(病毒)先会给鸡舍搞一道机关写入autorun.inf,内容:
https://api.dj.ci/image/5ebcc2359e2c2
由此看出,病毒制作者还是猜透了人们的心(部分有防备心理的人会右键->资源管理器 来打开U盘)
而且和之前几位病毒制作者相比(直接一个隐藏文件夹还改成病毒名字),这位老哥实在是很"良心"了,把存放病毒的文件夹直接改成了回收站标志,怕别人不认不出(绕晕的小伙伴,干脆给个提示:三重否定=否定,也就是认出)病毒文件夹
(例子详见:https://wenku.baidu.com/view/7e0adcc28bd63186bcebbcd2.html)

然后病毒会将本体复制到U盘/Recycled.{645FF040-5081-101B-9F08-00AA002F954E}\winlog.EXE

同时,在main.frm 第227-262行中发现,此蠕虫病毒还会处理以下文件的打开:
.ini .inf .chm .vbs .reg
万能鸡?
https://api.dj.ci/image/5ebc169be5c52
同时,对于reg文件,病毒伪装成功(实际上直接没导入)来阻止通过注册表修复计算机,这种"良心"方式好像很少见?
https://api.dj.ci/image/5ebcc1b2eb026
搜索http,查找这只鸡的主人(C&C主机)的地址

果不其然,找到两个(目前应该已被墙)
位于00405DBC和0040605C
主控C&C机位于mlmy.3322.org,目前访问提示连接被重置,但是我的香港机访问也显示 Connection reset by peer 怀疑是已挂 鸡主人去世,悼念
两个文件:
http://mlmy.3322.org/update.txt(疑似蠕虫配置,由于无法访问,暂时不能确定)
http://mlmy.3322.org/qq.asp?ip=(疑似上报感染)
经分析,此蠕虫病毒向远端C&C主机上报计算机名

现在传播方式摸得差不多清楚了(除了一个通过Exe文件传播不太清楚,是在Getexe.bas中),那咱们来让有请臭名昭著的Payload部分隆重登场
函数位置:main.frm / Proc_0_7_405D50
程序先通过Proc_1_6_40B8D0方法访问http://mlmy.3322.org/update.txt获取罪恶之源(脚本),之后访问http://mlmy.3322.org/qq.asp?ip=向远端C&C服务器报告计算机名和所处的目录
然后使用ShellExecute执行这段罪恶的脚本
卧槽,这Payload这么简陋的么?还不够我撑起厚度的?
https://api.dj.ci/image/5ebc16f301175
然后分析的差不多了,最后贡上反编译之后的源码和病毒原文件(原文件为了避免被杀和手贱乱点加了个disabled后缀,改回EXE即可,但是不改不影响逆向分析):

由于太小,直接传论坛,密码52pojie
不想走论坛的走蓝奏:https://redstonefun.lanzouj.com/iclrm2j
由于时间关系&学业关系,只能分析这么多了,本人高中生能力有限,望各位大佬接着我的继续研究(包括如何感染的EXE文件)

作者附言
这个蠕虫病毒已经历史比较悠久了 (老母JI????) 我读初中的时候就在班级电脑发现了病毒,同时根据C&C服务器判断制作者应该是国人
下节预告
学校官网惊现挖矿病毒?这一切是**的**还是**的**?本人即将播出(如果发现了的话)
好了不卖关子,的确是老师在学校防火墙里面看到网站服务器有解析挖矿服务器,
so,等抓住了另一只鸡咱们给大家论坛解剖?


IOCs:
    URL.1=http://mlmy.3322.org/update.txt
    URL.2=http://mlmy.3322.org/qq.asp?ip=
    MD5(WinLog.EXE)=f165b48f34d17777e433354c259f478b
    Location.1=C:/windows/System32/winlog.EXE
    Location.2=*(可移动介质):/Recycled.{645FF040-5081-101B-9F08-00AA002F954E}/winlog.EXE


中毒症状:
    1.任务管理器,CMD等闪退
    2.使用"此电脑"打开驱动器会闪退一次然后打开新窗口
    3.出现WinLog.EXE进程
    4.插入U盘后其中的程序会被感染(版本号变为192.168.0.1,原始文件名变为EXPLORER.EXE,程序名称变为winlog)

Hmily 发表于 2020-5-14 15:29

把图片上传本地吧,你这个网链的图片很慢,好像还有时间限制。

3322这个动态域名应该七八年前官方就关闭了,十年前的产品了。

xieyi1393 发表于 2020-5-14 18:19

本帖最后由 xieyi1393 于 2020-5-14 18:24 编辑

Hmily 发表于 2020-5-14 15:29
把图片上传本地吧,你这个网链的图片很慢,好像还有时间限制。

3322这个动态域名应该七八年前官方就关闭 ...
上传吾爱出现谜之502,所以才传的图床
不过时间限制倒是没有,这个是别人做的聚合图床

macolma 发表于 2020-5-14 12:09

真厉害!点赞。

JuncoJet 发表于 2020-5-14 15:58

VB 易语言 易报毒
就算不是病毒也早就被杀掉了

烟花非易冷 发表于 2020-5-14 16:57

好厉害的样子,学习了

处女-大龙猫 发表于 2020-5-14 17:03

大佬, 小白跟着学习了

liqinghui 发表于 2020-5-14 18:06

学习了,谢谢大佬

kiwilinzhongxie 发表于 2020-5-14 18:22

学习了,谢谢大佬

Hmily 发表于 2020-5-14 18:23

xieyi1393 发表于 2020-5-14 18:19
上传吾爱出现谜之502,所以才传的图床

502?确认是这个?现在传下试试?
页: [1] 2
查看完整版本: EVE蠕虫病毒(WinLOG)样本分析