优盘病毒二级加载机制简单分析
本帖最后由 happyBread 于 2022-3-18 21:12 编辑前几天在优盘上发现一病毒, 起意来简单分析一下
行为观察
病毒会感染插入的优盘,把优盘所有文件藏到一个命名为 alt+0160字符的隐藏文件夹里, 并创建一个dll 和 命名为VolumeIndexerGuid的加密shellcode 到这个隐藏文件夹里,最后在优盘根目录创建一个用于启动恶意dll及开启隐藏文件夹的shortcut,并将该shortcut的图标改为优盘图标。
创建的dll文件的名字是由 _ . - 这三个字符生成,长65字符的随机组合,无后缀名。
ida 静态分析
把dll 文件在ida 里打开发现以下 7 项export
一个一个打开检查发现主要逻辑都在 _7fLP 这第一个export里
这里病毒用GetModuleFileName 获取自己的文件名, 就是上面说到长度65字符的那个,之后当成参数传到uwzjydwtstq这个function里
跟到uwzjydwtstq 的里面,发现原来IndexerVolumeGuid也是病毒的一部分, 在这个function 里读取了IndexerVolumeGuid的内容,之后解密并运行shellcode
跟进解密流程, 这里发现dll 的文件名不是单纯的乱码, 而是shellcode 的解密密钥, 第一张图是密钥阵列的初始化, 在第二张图里根据dll 文件名进行一系列的操作,最后在第三张图里对shellcode进行解密。
解密出来的shellcode 不落硬盘,直接在内存解密运行,不过后面解密出来的二级shellcode技术有限实在看不懂。
用ida 打开大概长这样
关于优盘怎么清理, 只要打开隐藏文件夹, 把里面的文件全部拖出来, 最后删除病毒相关文件即可。
病毒样本: https://pan.baidu.com/s/1dunkUbqNqD5eAkrlygZm1A 提取码: mu5a
imsnail 发表于 2022-7-2 08:39
这么容易被杀的病毒?
清除步骤是清除被感染的u盘里的病毒文件罢了, 具体释放出来的病毒有什么效果我也还没去研究 多谢分享 看着有点复杂 学习了厉害了 学习,进步,666! 谢谢分享,非常感谢
不错学习了 学习了厉害了 学习,学习 不错学习了
页:
[1]
2