分析一捆绑病毒(不含汇编代码分析)
在52上下载的软件捆绑了病毒已举报
http://www.52pojie.cn/forum.php?mod=viewthread&tid=183641&page=1&extra=#pid3581851
举报了之后就试着分析了一下
原程序Umbrella.exe加了个upx的壳,esp定律直接秒掉。然后把脱壳后的程序载入c32中,搜索16进制50450000,找到了第二个PE头
捆绑的程序无误。
既然已知最新刷QB软件.exe是病毒我们就来看看他到底干了些什么。其实要想知道最新刷QB软件.exe到底干了什么,我告诉你们一个最快的方法,那就是直接运行。你一运行就知道了,呵呵。这里我在虚拟机里运行,以下是软件的监控记录我用的软件是MyMonitor,我个人感觉这软件还不错,MyMonitor不带沙盘功能,所以要在虚拟机里运行。
这里我一共运行了两次,可以看见在c盘根目录创建了一个dll文件(每次创建的dll文件名都不同)和一个jpg文件,这个jpg多半只是个后缀。这里我们来到C盘根目录。用C32打开这所谓的jpg文件。
这里记录的最新刷QB.exe的路径,和最近一次释放的dll的路径。我们再用资源查看工具打来最新刷QB.exe。(还有之前我弄的时候这个最新刷QB.exe是会自删除的。不过现在不知道怎么这,一直不自删除了,即使关了监控软件也一样,囧。)
看到了吧,其实这个dll文件是以资源的形式存放在exe文件中的。其实这个程序还释放了一个名为C:\Net-Temp.ini的文件我不知道是干什么的以下就是ini文件的截图
看见networkservice难道是跟网络有关的?然后我们用XT看看系统的变化,进程没有看到奇怪的。我习惯查看服务,然后查看数字签名,重点看没有数字签名和启动方式设为自动的文件。然后我发现了一个我不认识的服务
并且还开机自启动,没有数字签名,文件后缀好事蛋疼的bmp,看来这就是病毒程序的本尊了。那我们就来问候一下这个文件。把文件复制一次(因为源文件正在运行,无法打开)打开副本。
看到了熟悉的pe文件头。其实这就是一个dll文件。查看一下输出表
用xt查看一下,这个dll正在运行中。
前面发现了运行的时候回去访问moji1997.xicp.net这个域名(卧槽1997,不会是97年的大黑阔吧)查询了一下xicp.net这个网站是注册动态域名的0.0。
资阳的大黑阔。
然后用nmap扫描这个ip看看有什么可以利用的没有只扫到6059端口系统是xp sp3个人电脑不好拿,我还是别弄了毕竟人家是大黑阔,我们这种小菜伤不起。好了
我们继续分析。重启电脑恶意dll文件成功加载
虚拟机里装的金山一套(我会告诉你这虚拟机我是拿来做免杀的吗),貌似大师兄没反应。
这里除了用xt能看见加载了一个dll外,电脑没有任何异常。我初步推断这应该是一个木马程序。把程序载入OD,然后ctrl+n,看一下调用那些api函数
写过网络程序的都应该知道这个api就是创建套接字,在加上还有很多与文件操作、注册表操作相关的api。(木马程序一般都能查看文件,注册表这些)。
这就进一步验证了我的猜想。还有在查看字符串的时候我看见了gh0st
众所周知gh0st是一款开源的木马,我猜测这是gh0st的改版拿出尘封已久的gh0st原版,用od载入6to4ex.dll(gh0st释放的dll文件)对比字符串
Gh0st改版无误,鉴定完毕。
还有以后鉴定程序的时候不要一来就用OD什么的跟,而是要先看一下调用的API函数和字符串。没准就能直接鉴定出来哟。
因为原贴被ko了这里我传一份到百度网盘上
有兴趣的可以看看撒。
http://pan.baidu.com/share/link?shareid=270765&uk=1644595767 不错的分析方法
各方面都分析得很到位,给力的哦{:301_1003:}
期待LZ的新作 willJ 发表于 2013-2-5 20:41 static/image/common/back.gif
不错的分析方法
各方面都分析得很到位,给力的哦
期待LZ的新作
多谢版主鼓励支持,以前我都是潜水的。以后我定会多在52发贴的。 佩服佩服
工具的运用很娴熟 感谢发布原创作品,[吾爱破解论坛]因你更精. 写的不错啊。很详细。 高手,我菜鸟来的,学习ING! 这个分析的太透彻了!! 我菜鸟来学习的,谢谢分享! 我会直接上传火眼,看他的上线地址。