简单的下载者分析
本帖最后由 foolish 于 2015-12-2 16:48 编辑样本
文件名:_WGN.nil
文件MD5:2a937b12ba42f896e815fd4ac96cbc37
文件类型:DLL
文件名:desktop.ini
文件MD5:272cd74c46cf0ebac596cf27d1818d01
文件类型:加密的SHELLCODE
样本来源:http://www.52pojie.cn/thread-434393-1-1.html
分析过程
启动方式,借用rundll32来调用_WGN.nil的导出函数rundll32。
_WGN.nil的功能很简单,对文件desktop.ini文件的内容进行解密,然后加载调用。IDA反汇编截图:
http://i.imgur.com/iGl4Xf5.png
这里用Python写了一个解密的脚本:
#coding:utf-8
src = open('desktop.ini').read(0x1000)
key = ord(src) ^ 0x4e
dst = ''
for i in src:
dst += chr(((ord(i) ^ key) + 66) & 0xff)
print dst.encode('hex')
主要来分析SHELLCODE的功能
[*]获取多个函数地址
[*]尝试打开互斥体CCC
[*]设置文件Thumbs.db,usb3.exe,C:\MSI\TrustedInstaller.exe属性为正常
[*]下载文件http://m.deltaheavy.ru/m,保存为Thumbs.db
[*]创建文件夹:C:\MSI
[*]使用fopen,getc,putc,fclose等函数将文件Thunbs.db复制为C:\MSI\TrustedInstaller.exe
[*]设置文件Thumbs.db,usb3.exe,C:\MSI\TrustedInstaller.exe属性为隐藏、只读、系统
[*]使用WinExec调用C:\MSI\TrustedInstaller.exe执行
[*]使用WinExec调用usb3.exe
[*]删除usb3.exe
[*]结束
主要恶意行为
其实该文件就是一个典型的下载者,并未对本地文件进行修改,只是下载恶意程序,并运行。删除该文件即可。
,感谢楼主分享 感谢楼主分享{:301_998:} 感觉不错的样子 感觉不错 回帖是一种美德,谢谢分享
页:
[1]