对某"敲竹杆"的简单分析

无言士 发表于 2016-1-28 17:56

本帖最后由无言士于 2016-1-28 18:19 编辑

基本信息:
文件名称：最新内部辅助请关闭杀毒之后打开使.vmp.exe
文件大小：4472832 字节
文件版本：1.0.0.1
MD5 ：336F0E1B4B88D43543A30A69A0D2E9F6
SHA1 ：8C732514EC8A5B5C9CE42B12B2FE47494587D090

症状:
设置开机密码,重启后多出2个用户"加QQ1603987441" "随机数????"

脱壳:
VMP壳,在VirtualProtect设置断点,多次运行,到堆栈显示NewProtect = PAGE_READONLY后到程序领空

分析:
简单看了一下字符串

在关键字段首下硬件断点
单步向下并对代码进行分析

00401153 BB 90184000 mov ebx,最新内部.00401890
00401158 E8 14050000 call 最新内部.00401671                   ; 生成随机数十六进制 71B8 -> 十进制 29112
0040115D 83C4 1C       add esp,0x1C
00401160 8945 FC       mov dword ptr ss:,eax       ; 随机数29112
00401163 DB45 FC       fild dword ptr ss:
00401166 DD5D E4       fstp qword ptr ss:
00401169 DD45 E4       fld qword ptr ss:
0040116C DC25 4C674600 fsub qword ptr ds:          ; 随机数-5->29112-5=29107
00401172 DD5D DC       fstp qword ptr ss:
00401175 DD45 DC       fld qword ptr ss:
00401178 DC05 54674600 fadd qword ptr ds:          ; +1732->29107+1732=30839
0040117E DD5D D4       fstp qword ptr ss:
00401181 DD45 D4       fld qword ptr ss:
00401184 E8 7BFEFFFF call 最新内部.00401004                   ; 计算出第一个值为30839
00401189 8945 F8       mov dword ptr ss:,eax       ; 随机数29112
0040118C DB45 FC       fild dword ptr ss:
0040118F DD5D E4       fstp qword ptr ss:
00401192 DD45 E4       fld qword ptr ss:
00401195 DC0D 5C674600 fmul qword ptr ds:          ; 随机数*7->29112*7=203784
0040119B DD5D DC       fstp qword ptr ss:
0040119E DD45 DC       fld qword ptr ss:
004011A1 DC05 64674600 fadd qword ptr ds:          ; +3511->203784+3511=207295
004011A7 DD5D D4       fstp qword ptr ss:
004011AA DD45 D4       fld qword ptr ss:
004011AD DC35 6C674600 fdiv qword ptr ds:          ; /2->207295/2=103647.5
004011B3 DD5D CC       fstp qword ptr ss:
004011B6 68 01060080 push 0x80000601                      ; 计算出第二个值为103647.5
004011BB FF75 D0       push dword ptr ss:
004011BE FF75 CC       push dword ptr ss:
004011C1 68 01000000 push 0x1
004011C6 BB C0194000 mov ebx,最新内部.004019C0
004011CB E8 A1040000 call 最新内部.00401671
004011D0 83C4 10       add esp,0x10
004011D3 8945 C8       mov dword ptr ss:,eax
004011D6 68 74674600 push 最新内部.00466774                   ; .@
004011DB FF75 C8       push dword ptr ss:          ; 最新内部.0040EF7D
004011DE B9 02000000 mov ecx,0x2
004011E3 E8 AEFEFFFF call 最新内部.00401096                   ; 第二个计算的值与.@进行连接 ->103647.5.@
004011E8 83C4 08       add esp,0x8
004011EB 8945 C4       mov dword ptr ss:,eax
004011EE 8B5D C8       mov ebx,dword ptr ss:       ; 最新内部.0040EF7D
004011F1 85DB          test ebx,ebx                         ; 最新内部.00401890
004011F3 74 09       je short 最新内部.004011FE
004011F5 53          push ebx                               ; 最新内部.00401890
004011F6 E8 6A040000 call 最新内部.00401665
004011FB 83C4 04       add esp,0x4
004011FE 8B45 C4       mov eax,dword ptr ss:       ; 最新内部.0040A64F
00401201 50          push eax
00401202 8B5D F4       mov ebx,dword ptr ss:
00401205 85DB          test ebx,ebx                         ; 最新内部.00401890
00401207 74 09       je short 最新内部.00401212
00401209 53          push ebx                               ; 最新内部.00401890
0040120A E8 56040000 call 最新内部.00401665
0040120F 83C4 04       add esp,0x4
00401212 58          pop eax                               ; 最新内部.0040A64F
00401213 8945 F4       mov dword ptr ss:,eax
00401216 B8 77674600 mov eax,最新内部.00466777                ; 加QQ1603987441
0040121B 50          push eax
0040121C 8B5D F0       mov ebx,dword ptr ss:
0040121F 85DB          test ebx,ebx                         ; 最新内部.00401890
00401221 74 09       je short 最新内部.0040122C
00401223 53          push ebx                               ; 最新内部.00401890
00401224 E8 3C040000 call 最新内部.00401665                   ; 使用CreateProcess执行命令行
00401229 83C4 04       add esp,0x4
0040122C 58          pop eax                               ; 最新内部.0040A64F
0040122D 8945 F0       mov dword ptr ss:,eax
00401230 68 01030080 push 0x80000301
00401235 6A 00       push 0x0
00401237 FF75 F8       push dword ptr ss:
0040123A 68 01000000 push 0x1
0040123F BB C0194000 mov ebx,最新内部.004019C0
00401244 E8 28040000 call 最新内部.00401671
00401249 83C4 10       add esp,0x10
0040124C 8945 E8       mov dword ptr ss:,eax
0040124F FF75 E8       push dword ptr ss:
00401252 68 86674600 push 最新内部.00466786                   ; 随机码
00401257 B9 02000000 mov ecx,0x2
0040125C E8 35FEFFFF call 最新内部.00401096                   ; 随机数文本与第一个计算的值相加 ->随机数30839
00401261 83C4 08       add esp,0x8
00401264 8945 E4       mov dword ptr ss:,eax
00401267 8B5D E8       mov ebx,dword ptr ss:
0040126A 85DB          test ebx,ebx                         ; 最新内部.00401890
0040126C 74 09       je short 最新内部.00401277
0040126E 53          push ebx                               ; 最新内部.00401890
0040126F E8 F1030000 call 最新内部.00401665                   ; 使用CreateProcess执行命令行
00401274 83C4 04       add esp,0x4

发现过程中会先产生一个随机数
这一个随机数进行了两次运算得到两个值,分别是
显示的随机数 = 随机数-5+1732
密码有关的数 = (随机数*7+3511)/2
接着"随机数"与显示的随机数值进行连接,密码有关的数与".@"进行连接,最后再分别与"net user"连接形成完整的命令行提交CreateProcess进行执行

综上所述:开机密码=((显示的随机数-1732+5)*7+3511)/2 + ".@"

火眼分析报告:
http://fireeye.ijinshan.com/analyse.html?md5=336f0e1b4b88d43543a30a69a0d2e9f6&sha1=8c732514ec8a5b5c9ce42b12b2fe47494587d090#full

病毒样本:

简单分析,老鸟勿喷!有何不足希望各位指教!

Hmily 发表于 2016-1-28 18:02

样本压缩包上传时必须使用压缩密码保护，压缩密码:52pojie。，防止论坛被杀软查杀，这个附件好大可以上传网盘贴地址。

无言士 发表于 2016-1-28 18:05

Hmily 发表于 2016-1-28 18:02
样本压缩包上传时必须使用压缩密码保护，压缩密码:52pojie。，防止论坛被杀软查杀，这个附件好大可以上传网 ...
~~抱歉~上传的时候上传错包~我马上改

你与明日 发表于 2016-1-28 18:09

随机数感觉只能PE清除了

吾爱米西 发表于 2016-1-28 19:37

又是一个大牛

dongwenqi 发表于 2016-1-30 13:55

lolspider 发表于 2016-1-28 18:06
啥是敲竹杠

就是逼你交钱1万元以上，才能解锁

245071911 发表于 2016-1-31 14:08

密码是什么呀？我解不开了

我跟他是真爱 发表于 2016-3-14 11:25

今天我的电脑被此软件锁了，第一次发给我的是10281.25.；？第二次密码是10314.8#.^%希望有助破解

我跟他是真爱 发表于 2016-3-14 11:26

使用第二次的密码成功进入系统，第一次不知道是不是打错了显示密码错误

迷路的椰果 发表于 2016-3-20 19:35

学习一下感谢大牛知道

页: [1] 2

吾爱破解 - 52pojie.cn's Archiver

对某"敲竹杆"的简单分析