一个感染型木马分析3601——我在吾爱的第1个样本分析
本帖最后由 安静的小酒吧 于 2015-11-17 17:14 编辑3601分析报告 安静的小酒吧基本信息
名称3601
类型感染型病毒
来源吾爱破解-病毒样本区
运行环境WinXP
壳信息UPX-> Markus & Laszlo ver. [ 3.91 ]
开发语言EPcode like Delphi/C++ but different structure
分析环境WinXP
分析时间2015-11-1
文件信息
文件名文件大小Hash
3601.exe24.0KBMD5B5752252B34A8AF470DB1830CC48504D
SHA-1AEC38ADD0AAC1BC59BFAAF1E43DBDAB10E13DB18
简介样本来自吾爱破解论坛病毒样本区(具体链接找不到了,谁要是看到了记得给个链接哦,谢谢啦)。样本会感染ZIP和RAR文件(前提是你装了WinRAR),有多个上线地址(都已无法连接)。样本附件:(解压密码:52pojie)分析报告:(PDF版,看着舒服些)技术特征执行流程(IDA下的部分函数名和变量按照我的个人习惯已经重命名)一、主程序模块功能:1. 样本被加壳,UPX,脱壳。
(最近喜欢用Exeinfo查壳,PEID好久不更新,新壳查的不全)2. 读取一个固定的注册表项,检查自身是否已经在系统中驻扎,如果没有则随机产生一个文件名,将自身拷贝到C:\\Windows\\ 目录下。读注册表随机生成文件名,复制自身3. 注册服务并启动,服务名:Ghijklmn Pqrstuvwx Abcdefg Ijklmnop Rst注册并启动服务(这些函数是动态加载的,名称是我根据LoadLiarbrary()的参数命名的)
4. 写注册表(写入的注册表项就是前面读取的注册表项),主程序退出。二、服务模块功能 关于服务程序的调试,感兴趣的可以去看看《逆向工程核心原理》相关部分的讲解(第54章调试练习1:服务),提供了2种方法,我这次选择的是OD加载后直接把EIP指向SvcMain函数的起始指令(也就是第一种方法),但是这个会稍微有点问题就是程序和服务有关的API会失效,所以关键位置位置需要手工改一下(其实就是nop nop 那些API调用)。SvcMain函数的位置看一下注册服务时注册的地址就可以了(这个样本的SvcMain在0x40561A)。(就是这一块,服务有关的API调用可以直接nop掉)1. 创建互斥体,这是一般样本很常见的行为了 互斥名:Ghijkl NopqrstuWxy2. 释放一个DLL文件并加载,dll名称hra33.dll。加载后的DLL功能后面另开一张在说明。 前两天看到论坛一个样本分析里面也释放了相同名称的样本,我看着像同一个样本,但是看着分析结果不太相同,所以自己已经分析到这了就把它写下去吧。我是新手,大牛轻拍。。。(再说一下,函数名是我根据功能按照自己的命名习惯重命名的,大家有什么好的重命名习惯可以一起交流哦)3. 接下来是四个线程,分别有不同的工作:4. 第一个线程,入口函数我重命名为ipc_copy,它好像想IPC$的方式尝试拷贝一个一个文件,利用这个来枚举windows密码,我不了解IPC$,大牛可以科普下。(这些应该是它枚举的密码)(这个应该是它在尝试拷贝文件) 这个线程的主要功能就这些吧。5. 第二个线程 (1)先尝试连接一个主机,sbcq.f3322.org (2)搜集操作系统语言、版本、内存、网卡等信息并发送。 (3)尝试加载hra33.dll,并把加载结果反馈给控制端。(这个信息是和上面的搜集到的信息一起发送的) (4)然后就是一个很大的switch..case…语句对控制端的命令进行处理。主要功能包括,命令执行,dll加载,创建和释放互斥体,进程退出等。不再赘述。6.第三个线程,主要功能和上一个一样只是回连的地址不同,这个是:www.520123.com7.第四个线程,和前面的功能也一样,只是回连的地址是:www.520520520.org:9426 不同的是它处在一个while(1)的循环中,会定时去重连,检测连接状态。服务程序就是以上功能。三、hra33.dll模块 1. 判断自身所处环境是否为temp目录,如果不是则将自身拷贝到temp目录并重命名为hrl1D.tmp2.创建一个新的进程,搜索.rar和.zip文件,并进行感染。(搜索rar和zip文件)(往rar和zip文件里面添加文件)加密算法1.回连的url地址都使用了base64加密。2.数据通信部分没有认真分析是否存在加密。
查杀方法删除对应服务、删除system32目录下拷贝的文件(名称是随机的,可以看看样本的icon,两个是一样的)即可。
其他一两周之前分析的样本,一直懒得写报告。。。晚上去跑步了,挺累的,还熬夜,好累,简单写写睡了。大牛轻拍。安全帽在双11物流大军里还没有到。
新手先来学习,支持前辈们的努力工作,最近我安装了一款播放软件,此款软件会劫持360安全浏览器,换成播放器里的一个网页,而且会劫持IE主页,改成http://7xld6q.com1.z0.glb.clouddn.com/,只是属于危害型的,可以用360软件和Wise Care 365 Pro等软件进行修复,每次我要换此劫持网页删掉,把360安全浏览器页面重新弄出来,想问到,各位高手们,这个改主页是不是云劫持呢? 目测要火 后排出售辣条,薯片,巧克力,虾条,棒棒糖,瓜子,混沌,炒米粉,老母鸡汤,宫保鸡丁,火爆大虾,清蒸鲈鱼,爆炒腰花,葱花饼,鸡蛋汤,油条,煎饼,肉夹馍,羊肉串,烤鸡腿,考鸭腿,苹果,香蕉,橘子,番茄,椰子,火龙果,等等等,更有螺旋式套套,低价出售。 目测要火 前排出售瓜子,花生,爆米花,可乐一个CB买不了吃亏 买不了上当 后排板凳准备好 谢谢分享 很不错 值得学习!! 看不懂。。。。 完全看不懂啊需要继续努力学习啊 分析代码那块好详细,卤煮要是能科普下怎么静态分析代码就更好啦。{:17_1069:} 分析得不错,加精鼓励
“但是这个会稍微有点问题就是程序和服务有关的API会失效,所以关键位置位置需要手工改一下”。
这么好的技巧就直接说出来吧。{:301_978:} 竟然被加精了了了了。。。受宠若惊!