网站 › 『病毒分析区』 › 一款简单的病毒下载器分析

BurYiA 发表于 2022-8-6 20:13

一款简单的病毒下载器分析

本帖最后由 BurYiA 于 2022-8-21 09:05 编辑


## 前言
病毒分析新人报道
之前自己分析过的一个样本，但是当时没有好好做，拉出来重新看一下
这遍分析下来发现还是有些地方有些模糊，还望师傅们多多指点

下面是这次的分析报告

---



## 基本信息

样本类型：PE32
样本文件大小：15872(15.50 kB)
样本文件MD5 校验值：56b2c3810dba2e939a8bb9fa36d3cf96                           
样本文件SHA1 校验值：99ee31cd4b0d6a4b62779da36e0eeecdd80589fc
壳信息：ASPack(2.12-2.42)[-]
样本下载：https://wwi.lanzoup.com/iFR7x08idt8h密码:virus【压缩包密码：infected】

## 简介

经过分析，该病毒为一个“下载器+注入器”，他会下载云端的5个文件(k1.rar, k2.rar, k3.rar, k4.rar, k5.rar 文件格式实际为可执行exe)，并且在下载完成后会将自身复制到符合条件的exe尾部

## 文件系统变化

程序会使用的临时文件夹：C:\\Users\\【用户名】\\AppData\\Local\\Temp\\

## 注册表变化

将要被创建的注册表键
```
HKU\S-1-5-21-1154830284-2183519305-1153629013-1000\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\GTplus
HKU\S-1-5-21-1154830284-2183519305-1153629013-1000_Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\GTplus
```

## 网络症状

从 **http【:】//ddos【.】dnsnb8【.】net【:】799/cj/** 下载文件

## 详细分析／功能介绍

当样本被运行后，会进行如下操作：

### 1. 检测当前的系统版本，当版本小于6时进行提权



### 2. 多线程下载远程服务器上的文件至本地Temp文件夹中并执行
一共有五个文件


### 3. 程序将自身读取到内存中，遍历全盘文件将自身加到符合条件的程序末尾



#### 3.1 遍历文件时会有选择的跳过部分文件夹



标记信息来源于之前解密的一块内存


#### 3.2 程序会对部分exe文件以及Temp目录中的rar进行操作
针对符合要求的rar文件，程序会对其解压并遍历内容做查找注入操作，完成后将其重新打包


使用的解压/压缩程序来自于从本机 **C:\\Program Files (x86)\\WinRAR\\** 路径下复制的**Rar.exe**


并且使用结束后会对其（Temp目录下的复制文件）进行删除



#### 3.3 针对符合要求的exe文件，程序会对其进行更改注入本体
在其尾部插入程序本体


并更改文件头



对比发现对程序头做了以下操作：
- NT头——文件头：
      - 区块数目 NumberOfSections+1
- NT头——可选头：
      - 所有含有代码的区块的大小 SizeOfCode+0x4200
      - 程序执行人口（RVA）0x8AFB-->0x22000
      - 映像载入内存后的总尺寸 SizeOfImage + 0x5000
      - 映像校验和 CheckSum 0x1D0E2-->0x0    ?
- 节区表
      - 在节区表末尾新增一个节区信息

被感染的程序在执行时首先会在Temp目录下释放执行病毒文件，再去执行原始内容



### 4. 增加SOFTWARE\\GTplus注册表项


对比程序运行前后的注册表项可以得知增加的注册表项以及内容是：
```
HKU\S-1-5-21-3004234692-1880326442-2713182905-1000\Software\Classes\VirtualStore\MACHINE\SOFTWARE\WOW6432Node\GTplus\Time: F3 D7 E5 D2 27 9F D8 01
HKU\S-1-5-21-3004234692-1880326442-2713182905-1000_Classes\VirtualStore\MACHINE\SOFTWARE\WOW6432Node\GTplus\Time: F3 D7 E5 D2 27 9F D8 01
```

### 5. 程序自删除
删除运行位置的原始程序

luliucheng 发表于 2022-8-7 12:12

其实病毒作者考虑得不周全，并不是每个人都安装了WinRAR，就算装了也不一定在C盘。
根据病毒下载文件的网址，下载的文件很可能是DDoS工具，现在的黑客已经学会用其他人的电脑当肉鸡DDoS了。

BurYiA 发表于 2022-8-7 18:53

lizf2019 发表于 2022-8-7 12:56
win版本小于6是什么

当时查得时候看到了这个，猜测应该是指Windows Vista以下

Windows NT 5.0，表示 Windows 2000
Windows NT 5.1，表示 Windows XP
Windows NT 6.0，表示 Windows Vista
Windows NT 6.1，表示 Windows 7
Windows NT 6.2，表示 Windows 8
Windows NT 6.3，表示 Windows 8.1
Windows NT 10.0，表示 Windows 10

Pro111 发表于 2022-8-6 21:11

这玩意挺细的啊

Barbara 发表于 2022-8-6 23:41

学习了，楼主分析的太到位了！

亮少 发表于 2022-8-7 00:47

张新知识了，确实很有帮助

angels8868 发表于 2022-8-7 07:09

学习了，楼主分析的太到位了

Jien 发表于 2022-8-7 08:20

大佬厉害

jerrma 发表于 2022-8-7 08:23

学习了，楼主分析的太到位了

cq2002 发表于 2022-8-7 09:06

佩服。太历害了。{:1_921:}

shamshiel 发表于 2022-8-7 09:14

感谢分享

Tanni 发表于 2022-8-7 10:46

谢谢分享,太历害了。

查看完整版本: 一款简单的病毒下载器分析