一次快乐午休时光之后的应急病毒样本分析
本帖最后由 5yes 于 2023-3-13 14:25 编辑某天,正沉浸在午休快乐时光,突然我的2018年神级电脑微信客户端跳出一条消息Xx单位中了勒索
我当场跳了,一看,加密后缀是Devos,是Phobs勒索家族的的分支 因为来不及去现场,遂叫先自查一下这个路径
将文件加密压缩后进行分析(应急完成之后)
将文件加密压缩后进行分析(应急完成之后)
从入口函数出发
跟进Sub_403F14(获得文件句柄)->Sub_402E4C 发现是异常函数RaiseException函数,通过RtlUnwind函数生成异常,目的是在异常处理中改变程序的执行流程,触发异常,增加调试时间,忽略即可
sub_4070DC 初步看是跟文件和多线程相关
跟进sub_4049D0
不会执行commanlinaA
跟到8186
接下走到 sub_00407678->sub_00405008
跟进dec循环 一千多次,直接在下面下个断点F4运行完
然后 检索为临时文件指定的目录的路径
sub_00407678->sub_004031C4 //5008下面
sub_004031C4循环edx得到的临时路径,循环完跳出
5200之前就不看了
跟进sub_00405200
跟进sub_00405200-> sub_405080
通配符寻找文件夹然后关闭
退出到sub_00407678,主要是看一下红框部分
发现3214创建文件夹
Sub_00407678->sub_00405b24
再跟细一点就是Sub_00407678->sub_00405b24->sub_404B68
重点观察的红框shellexute那里可以看到通过shellexecuteA 运行了我们之前看到在tp临时目录下生成的fast
到这却还没有进行加密文件,那么加密函数应该是在这个释放的fast里面,先压缩下次分析(主要是懒)
真厉害,支持支持 看不太懂但是总觉得薄纱这帮人很爽 制裁勒索病毒 分享下样本 厉害厉害,可以啊 厉害厉害,可以啊 不明觉厉哈哈哈 看见几个比较熟悉的系统API,就知道那几句的功能了。 爆杀病毒,真的爽到~