文件夹病毒“360safe”样本分析
0x0 前言样本来源:http://www.52pojie.cn/thread-427211-1-1.html样本名称:360Safe.exe
样本MD5:D09B3F56413C15E1B5FB0E65FC9C324D
脱掉壳后MD5:2700C49BE729E140503AB34BF6DF4360
样本使用MFC编写,去掉壳后,分析起来难度不大,进行了简单的分析。
0x1 样本主文件分析
样本的主函数结构如下:调用三个函数分别执行资源释放、DLL注入、添加启动项,创建两个线程来对移动磁盘、本地硬盘做感染,最后创建一个线程进行网络操作。
释放资源文件为:C:\WINDOWS\system32\msxmlw.dll
将msxmlw.dll注入到explorer.exe进程中,该dll的功能,请看后面的分析。
将自身添加为自启动项,键值为360safeboxHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"360safebox"="C:\\Documents and Settings\\xxx\\桌面\\360safe_unpack.exe"
对移动磁盘进行感染
通过设置注册表值,隐藏文件后缀名、不显示隐藏的文件和文件夹。
下载列表的地址:http://www.wc86.com/aaaaaa.txt,目前已经失效
下载并调用可执行程序的代码
0x2 msxmlw.dll分析 该模块被注入到explorer.exe进程中,功能很简单,创建线程,执行下面的复制操作
0x3 感染方式
遍历磁盘所有目录,将文件夹设置为隐藏属性,将样本自身命名为文件夹名称。
设置该可执行文件属性为正常,并使用WinExec来调用执行。
0x4 清理方式
[*]删除注册表360safebox相关的所有项目
[*]设置注册表,显示隐藏属性的文件和文件夹、显示文件后缀名
[*]取消文件夹属性中的隐藏
[*]删除所有以文件夹命名的程序。
[*]删除C盘根目录下的全部可执行程序(自己明确知道是正常文件的除外)。
{:301_971:} “360safe”这个我好像看过,是某宝的后台软件吧 我遇到过删除文件夹(内有其他文件和文件夹),在外面的文件夹无法删除,显示“找不到”。最后用了一个bat脚本删除的。
DEL /F /A /Q \\?\%1
RD /S /Q \\?\%1
保存为bat文件,直接把文件夹拖到bat文件上就删除了 m13414907 发表于 2015-11-4 16:32
“360safe”这个我好像看过,是某宝的后台软件吧
可能只是名字一样吧,这个样本没有某宝相关的东西 我的样本,我来顶。谢谢大牛 顶一下楼主,涨姿势咯~!!! 分析得很不错,值得学习{:1_921:}
页:
[1]