尝试对"鬼魅病毒"样本分析
在论坛看到一个帖子,说一个哥们在QQ群看到一个未知的EXE文件。。看那个哥们介绍说这个病毒样本是”鬼魅“,通过度娘大概了解了一下,这个病毒还是很变态的,像我这样的小白分析起来应该会很蛋疼,但是为了提高还是硬着头皮分析下。
https://dn-shimo-image.qbox.me/ib0iPPoI5Pl7OgVQ.png%21thumbnail
它寄生在磁盘主引导记录(MBR),即使格式化重装系统,也无法将该病毒清除。当系统再次重启时,该病毒会早于操作系统内核先行加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒就象“鬼魅”一样在中毒电脑上 “阴魂不散”。
那么什么是MBR呢?
https://dn-shimo-image.qbox.me/5WkV0qOoZj58vSWv.png%21thumbnail
基本信息
作者:t2st
时间:2015/11/17
特点:植入主引导记录
测试环境:Windows XP
Size: 113664 bytes
MD5: BECE52287A2096D434B098D7F8A8B32A
SHA1: E977A8E54DEA3A9E540BBD6C4FF7CA8446130855
CRC32: 9E1CF49E
提取字符串
我们通过提取”鬼魅“的字符串发现了一些杀软的字符串,这里猜测鬼魅会检测PC机是否有对应的杀软。
https://dn-shimo-image.qbox.me/ylBYWfrcdmmNWLWE.png%21thumbnail
大概有这些,我简单的列出来。
https://dn-shimo-image.qbox.me/vOKY6nqZCvpDIo7C.png%21thumbnail
接下来就试试把病毒放进IDA中进行分析,由于我技术不太好,分析错了请轻喷。
创建文件
https://dn-shimo-image.qbox.me/BNifrNq965IKQQGh.png%21thumbnail
通过将控制代码给目的驱动设备,并执行相应的操作。
https://dn-shimo-image.qbox.me/39jZFlD285VVZDoV.png%21thumbnail
检测PC机上的杀软进程。
https://dn-shimo-image.qbox.me/nXJmwKNQby629llB.png%21thumbnail
其中当检测到explorer.exe和360tray.exe这两个进程会有一个goto操作。
https://dn-shimo-image.qbox.me/Y9QVO2wlHh6DhkbS.png%21thumbnail
会生成一个tem文件和stinst.log文件,其中tem文件是文件名应该是一个十六进制,而stinst.log的路径byte_407180这个来赋予。
https://dn-shimo-image.qbox.me/HClZfc7UXJ7UNk2b.png%21thumbnail
获取系统版本、系统目录以及获得临时文件夹路径。
https://dn-shimo-image.qbox.me/xE4jxMtYVlfsWASY.png%21thumbnail
获得相应进程的完整路径,我自己猜的。
https://dn-shimo-image.qbox.me/BxbjzsbpAXXNstyU.png%21thumbnail
通过SHGetValueA来修改注册表。
https://dn-shimo-image.qbox.me/JLEU5zMBKFrFvSLY.png%21thumbnail
发现了一个驱动文件HintRoot.sys,根据它的特性这个应该不是什么好东西。
https://dn-shimo-image.qbox.me/9M8853Lw0zIwPJYg.png%21thumbnail
放进OD里分析一下,虽然不知道能不能分析一些东西来。运气比较好,还是发现它在C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\目录下创建了stinst.log这个文件。
https://dn-shimo-image.qbox.me/H27hhaGbQVWPmDk5.png%21thumbnail
还在C:\WINDOWS\system32\下创建了这个14F80660.tmp这个文件,根据前面分析的猜测这个文件名是随机生成的。
https://dn-shimo-image.qbox.me/QBv5YA2pggdf32tb.png%21thumbnail
还有这个批处理文件,文件名也是随机的。
https://dn-shimo-image.qbox.me/Zy7hUWNFgBd2q9C7.png%21thumbnail
整理下现在收集到信息:
1.病毒会释放文件,具体释放哪些文件还不太清楚?
2.涉及驱动文件,发现一个HintRoot.sys驱动文件,估计需要安装这个恶意驱动。
3.病毒就检测PC机上的杀软。
4.病毒检测explorer.exe,估计针对这个进程有所操作。
5.会在C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\下生成stinst.log和随机十六进制文件名的tmp文件。
6.会篡改注册表。
7.C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\目录下生成一个文件名同样是随机的bat文件。
8.在C:\Windows\System32\也生成了随机的十六进制的tem文件。
估计看到这里有的大牛看到要吐槽我了,由于分析能力还有待提高这里只是把前面分析的信息拼凑和整理一下。针对我们整理的信息点继续思考!
按照我们已经了解到的,病毒程序就目前来说大概会释放5个文件。(HintRoot.sys、C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\stinst.log、C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\****.tem、C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\****.bat和C:\Windows\System32\****.tem)
针对这个HintRoot.sys文件,我们尝试全盘检索也没有发现这个文件。这里按照前面的套路,驱动文件是不是也是十六进制随机命名的呢?
检测杀软这个应该没什么好说的了,而针对explorer.exe的操作会不会对它进行了注入呢?先不管了,如果是注入的,我们需要找到那个DLL文件。根据上述信息C:\Windows\System32\也生成了随机的十六进制的tem文件,我们去C:\Windows\System32\看看,结果发现了有趣的东西。
https://dn-shimo-image.qbox.me/RzJDScIJ8aa4oqzJ.png%21thumbnail
本来说来找一下那个随机十六进制的tem文件的,结果发现了这个sys文件也是十六进制命名的。根据我们前面找到HintRoot.sys文件,初步推测生成的就是这个文件。而那个DLL也是可疑文件,会不会就是注入到explorer.exe中的DLL呢?可是我去看explorer.exe进程中信息并没有发现它,那只好分析下它了。
https://dn-shimo-image.qbox.me/Mq7S4cRWaboJjY6B.png%21thumbnail
居然使用了WS2_32.DLL,我们知道WS2_32.DLL是Windows Sockets应用程序接口, 用于支持Internet和网络应用程序。难道这个就是木马的主体?放进IDA里分析一下。
关于获取主机名和地址信息操作
https://dn-shimo-image.qbox.me/V8VvFl7PhCmWZTmB.png%21thumbnail
https://dn-shimo-image.qbox.me/5bk8Nx9ulTJMeqZo.png%21thumbnail
到这里有的累了,直接放OD里看看。
https://dn-shimo-image.qbox.me/55nqZzEjGhnXfzpv.png%21thumbnail
访问百度这个网站,估计是测试网络的连通性。往下走发现了会去访问52lianfa.com这个网站,IP:142.4.103.82。这个网上是DNF游戏的网站,不过现在关了。
https://dn-shimo-image.qbox.me/UISc0mC5Y1WyQ0cn.png%21thumbnail
今天分析就到这里,感觉还有很多需要学习。去啃书了,一万个小时定律。
我们这边一般称这个病毒叫做鬼影,早起我接触过一次在这个病毒刚刚爆发的时候,后来金山就出了专杀版本,这个病毒非常让人头疼大部分都是更改你的IE主页让后指向另外一个地址,达到他们的目的,我碰到的时候还没有任何杀软能解决,我当时重做系统以后发现还有。我用了最原始的办法就是setup盘重做了进行低格,最原始的笨方法,后来又有新的办法就是重建系统引导分区MBR,就可以了。这个病毒太可恨了。我也是个小白希望说的对你有用,他还会感染U盘尤其是引导U盘。 碰见病毒我就无奈了{:300_939:} 好深奥的,我看不懂 浮生半世 发表于 2015-11-17 21:09
碰见病毒我就无奈了
这个病毒我是在虚拟机里弄的,执行了重启就开不了机了。{:17_1084:} 北涯丶 发表于 2015-11-17 21:09
好深奥的,我看不懂
{:17_1072:} 这个病毒分析下来人都要懵了。 {:301_1008:}真的看不懂! Ally 发表于 2015-11-17 21:22
真的看不懂!
{:17_1072:} 是不是我写的不好,不好意思吖。 原谅我只是个超级小白... 一直不会玩IDA,,,,, Analysis#K 发表于 2015-11-17 21:36
一直不会玩IDA,,,,,
{:17_1089:} 我也不太会,我就是利用这个病毒硬着头皮分析的。慢慢读代码,其实没那么难。