网站 › 『病毒分析区』 › 一个感染型PE文件病毒的简单分析

龙飞雪 发表于 2015-7-30 17:09

一个感染型PE文件病毒的简单分析

本帖最后由 龙飞雪 于 2015-8-2 09:28 编辑

一、基本信息

[*]样本名称：1q8JRgwDeGMofs.exe
[*]病毒名称：Worm.Win32.Agent.ayd
[*]文件大小：165384 字节
[*]文件MD5：7EF5D0028997CB7DD3484A7FBDE071C2
[*]文件SHA1：DA70DDC64F517A88F42E1021C79D689A76B9332D


二、分析样本使用的工具

[*]IDA5.5
[*]OnlyDebug
[*]RadASM

[*]Notepad++以及EditPlus


三、部分具体的病毒行为分析
1.获取当前模块感染1q8JRgwDeGMofs.exe文件的路径，然后将该文件即病毒母体的数据读到内存中。
//获取当前模块的感染1q8JRgwDeGMofs.exe文件的路径

//读取感染1q8JRgwDeGMofs.exe文件的数据到内存

//读取感染1q8JRgwDeGMofs.exe文件的数据到内存返回内存缓冲区指针

2.获取临时文件的目录，拼接字符串构造文件路径："C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\感染1q8JRgwDeGMofs.exe” //获取系统临时文件的目录"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\.
//拼接字符串得到："C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\感染1q8JRgwDeGMofs.exe”
3.对字符串标记"%A1%FBI"进行解密得到一个特征字符串，然后通过该特征字符串定位到感染1q8JRgwDeGMofs.exe文件的附加数据段，获取附加数据，再将该附加数据回写到感染1q8JRgwDeGMofs.exe文件中构建一个新的感染1q8JRgwDeGMofs.exe文件，然后调用函数CreateProcess创建一个感染1q8JRgwDeGMofs.exe进程。
//解密字符串"%A1%FBI"




//拷贝原来的病毒母体感染1q8JRgwDeGMofs.exe文件到系统临时文件目录下

//在病毒母体所在的路径创建新的感染1q8JRgwDeGMofs.exe文件，虽然新创建的文件与原来的病毒母体文件的路径和名称一样但是新创建的文件里的数据却不是原来的也就是说新创建的同名文件的数据时原来病毒母体文件的附加数据的内容。


//CreateProcess运行刚才创建与原病毒母体同名但是文件数据是原病毒母体附加数据内容的文件，创建进程感染1q8JRgwDeGMofs。

4.感染文件的其他的行为 //设置感染样本文件感染1q8JRgwDeGMofs.exe的属性为隐藏。


//判断文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\感染1q8JRgwDeGMofs.exe.lj是否存在

//存在该文件--删除"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\感染1q8JRgwDeGMofs.exe.lj”文件

//将感染样本的文件数据拷贝到文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\感染1q8JRgwDeGMofs.exe.lj中


//将感染样本的文件数据拷贝到文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\感染1q8JRgwDeGMofs.exe1"中

5.附上感染样本的附加数据的截图：

病毒样本的行为比较多，没有全面的分析，仅仅分析了该PE感染病毒的病毒数据的释放和病毒运行起来的过程，不是很复杂。病毒分析很重要的一个过程就是病毒行为的总结和描述，本人不太会总结，慢慢来，将分析进行到底。

龙飞雪 发表于 2016-3-6 23:06

LOVE_TT 发表于 2016-3-4 13:07
问一下 我跟踪到：释放exe到temp文件夹下 然后他生成exe.lf然后 疑问就来了 exe.lf是病毒本体 然后怎么运行 ...

你好，我不确定你的样本是否是这个样本。
这样的样本的 病毒行为详细的我没有分析，只是分析了病毒母体的被释放出来然后被执行的过程。

本篇博文的逆向分析说明的问题是：通过附加数据进行病毒的母体的释放和执行，加载的过程是通过调用函数CreateProcess即被感染的exe衍生病毒文件在运行的时候，首先通过特殊的标记搜索存放在附加数据末尾的病毒母体文件，释放病毒母体，调用创建进程的函数执行病毒母体。

典型的附加数据感染的样本。

龙飞雪 发表于 2015-7-30 23:07

蚯蚓翔龙 发表于 2015-7-30 22:52
应该还没写全吧，RadASM那些没怎么看到有用到。。。
加油继续，话说我也好想写一篇但感觉好难

用到了，上面的代码就是复制到RadASM里注释分析的，截图上的都是RadASM的截图。
硬着头皮上就没事。

Very_good 发表于 2015-7-30 17:14

是原创还是转载额

huanyun 发表于 2015-7-30 17:26

该帖子4月份就有在博客发表过....

龙飞雪 发表于 2015-7-30 17:31

那就是我的博客，咋啦。后面更新一下，新的病毒的分析。耕地人2014

龙飞雪 发表于 2015-7-30 17:32

自己分析的，之前发表在Csdn上啊。现在带过来，再更新一下新样本的分析。

currwin 发表于 2015-7-30 17:36

楼主既然要发的话就顺便把样本发一下吧

龙飞雪 发表于 2015-7-30 17:43

currwin 发表于 2015-7-30 17:36
楼主既然要发的话就顺便把样本发一下吧

发了，可以看看

Keller 发表于 2015-7-30 17:47

不明觉厉

willJ 发表于 2015-7-30 18:32

如此认真的一篇分析，精华

Codeman 发表于 2015-7-30 18:43

感觉好腻害，膜拜一下！

查看完整版本: 一个感染型PE文件病毒的简单分析