某病毒样本分析
样本来源样本来源于论坛里的一个帖子:https://www.52pojie.cn/thread-1887329-1-1.html
样本分析
打开网站会下载一个查询5147.bat,用文本工具打开发现是一个exe文件。
该exe执行逻辑比较简单,开始会下载一段shellcode 然后执行。
Shellcode中包含了一个dll文件,shellcode在完成一些初始化工作后会执行dll中的导出函数Hanshu。
该函数大体有以下几个行为:
1.下载一个txt文本
下载一个被加密的txt文件,解密后得到后续需要的文件下载地址。
2.下载其余模块并存储
根据不同系统版本下载不同的bin文件(该文件用于后续注入到explorer.exe),存放到注册表HKCU\Console\qweasd123zxc ,
Local/Temp目录下config.ini 和
ProgramData/config目录下config.ini 。
其余文件对应关系如图
3.创建3个链接,并执行
在执行链接文件前会发送WM_CLOSE窗口消息,尝试关闭某些杀毒软件。
4.删除一些不需要文件,并将shellcode注入explorer.exe
Shellcode 为之前下载的bin文件,被存储在注册表qweasd123zxc中
https://static.52pojie.cn/static/image/hrline/1.gif
到目前位置代码有两个走向一个是 ShellExecuteA 执行的链接文件,另一个是注入到explorer.exe 的shellcode。
ShellExecute 会运行quick 程序,quick 在接着运行thunder.exe 并将要执行的注册表语句作为命令行参数传递,thunder.exe 通过注册表将1.exe 作为启动项实现持久化存储。
1.exe 采用白+黑的形式,加载mhRCPlayer-dll.dll。
mhRCPlayer-dll.dll是一个注入器,会读取C:\\ProgramData\\config\\config.ini,将shellcode 在注入到explorer.exe中。
到此代码都走向explorer.exe 的shellcode。
Shellcode会先通过TEB获取一些函数地址
在根据网站获取ip 建立连接后发送”64”,在进入循环接受数据。
接受的数据会被存储在新分配的一段可执行内存空间中,解密后执行。
结束 本人不幸下载了这类病毒,开始杀毒软件拦截了就没在意,但是今天突然卡死于是想起杀毒,查到了一个后门程序,同时一直有个弹窗报runfile.exe错误,anonymous\mhRCPlayer-dll.dl未找到,于是找到该贴,进一步发现自己被监控了好几天,在某个文件夹中保存有许多微信截图(目前没有发现重要内容),根据该贴提示,已经删除了病毒文件,感谢题主,希望后续没事了{:1_901:} 请教一下大佬,为啥IDA这里能显示字符串,我的IDA没有阿,还有这个downloadFile符号,我是学了一点点,不太了解 厉害了,支持一下 厉害了大佬,能学习一些新的分析技术! 厉害厉害 yinsel 发表于 2024-2-4 18:25
请教一下大佬,为啥IDA这里能显示字符串,我的IDA没有阿,还有这个downloadFile符号,我是学了一点点,不太 ...
这里你需要自己调整变量的类型,才能识别字符串,downloadFile是重命名的
厉害了大佬{:1_921:} 谢谢大佬分享 干货,感觉学习一下{:1_893:} 学习了,谢谢大佬