网站 › 『病毒分析区』 › 对rmnet蠕虫病毒的分析

KaQqi 发表于 2016-10-1 16:28

对rmnet蠕虫病毒的分析

本帖最后由 cqr2287 于 2016-10-6 08:04 编辑

此文章是原创，如果有雷同，纯属巧合！
在写帖子之前，先对@Hmily 说几声对不起！
给您填麻烦了。。



static/image/hrline/line8.png
因为我电脑上的吾爱od也感染上了病毒，所以用cari的。
对于我们这些新手，直接扔进火眼先分析一段再手动分析比较好
火眼曰
病毒名称：Trojan.Win32.Ramnit.efg
文件名称：吾爱破解Srv.exe
MD5：ff5e1f27193ce51eec318714ef038bef
SHA1：b4fa74a6f4dab3a7ba702b6c8c129f889db32ca6

创建互斥 “KyUffThOkYwRRtgPP”
static/image/hrline/line8.png
开始手动分析。
在被感染的目录下，我看到了原程序+srv的文件。

我们可以用PEID看一下原程序。

可以发现，原程序下面加了rmnet区段。
在这里感谢画眉大牛和@苏紫方璇 的支持！它指出了我电脑中了此病毒，就是从这看的！

根据思路，我想先分析SRV文件。至于分析原程序的rmnet区段，我没试过。
使用PEID看一下srv文件。

可以看到程序加了2层壳。两层都是upx
upx壳比较简单，所以直接载入
Cari的od载入。前面已经说过，我吾爱的od被感染了。。呜呜


经典的upx。
我打算脱掉他。
但在esp下段运行之后，直接来到了rmnet区段，看不懂的。

。所以我们还是不脱了，直接去第二层upx。

来到第二层之后，仍然看不太懂（我傻）。于是动态调试
在动态调试中，可以发现，堆栈出现了下面路径。
C:\Program Files\Microsoft\DesktopLayer.exe
在我平常的单中，一般软件出现路径都是写配置项或者文件。这次写出了个exe
怎么分析？我个人觉得应该去那里看一下（也许不应该这么做）
到了之后，发现两个程序。

在之前的感染中，病毒都是在原程序后面加上srv变成病毒。
这次是不是呢？
如果是，堆栈中提示的为什么是DesktopLayer而不是desktoplayerSrv呢？
在虚拟机中运行之后，只剩下一个文件了。

同样PEID查一下。发现，不加srv的程序只有rmnet区段

加了srv的程序是典型感染的，跟之前的一样。

那我就跟进不加的看一看，因为加的与之前一样，所以内容应该也一样。
糟糕了。。

那我们打破推论，载入srv程序。看看调用
发现程序屡次调用。CreateProcessA.



刚才蓝屏了。。不知道怎么回事，只出现winlogon异常就蓝屏了。
看看程序什么时候调用winlogon
现在我非常非常的卡。
终止od后，恢复正常。
堆栈出现了system32\userinit
发现程序指向的是C:\Program Files\Microsoft\DesktopLayer.exe
这样一来，又回来了。就说明，某个程序在命令winlogon启动某个程序。
这样就明白了中毒症状为什么卡了，因为它不断调用winlogon。


软件会不停的感染，直到感染全盘。


分析完成。


static/image/hrline/line8.png
下面是解决方法。
我们知道，软件会创建互斥体KyUffThOkYwRRtgPP，那我们就手动创建KyUffThOkYwRRtgPP。
这样病毒不会感染我们的电脑。然后我们手动删除所有程序的rmnet区段，修复入口就可以了。
还有一种简单的方法，使用@Hmily 提供的专杀，地址我忘了{:301_999:}


static/image/hrline/line8.png
第一次写病毒分析，什么都不会，以前只会od逆向软件，从来没有分析过病毒。文章写的乱，希望大家原谅

@Hmily 对不起！对不起！！对不起！！！

Hmily 发表于 2016-10-5 18:21

@温州DJ小意无知的孩子，你和楼主一个鸟样，多次警告你们感染病毒都无济于事，楼主在n次提醒后总算有所学习，你还是好好看看吧，自己中毒了都不知道什么情况。

Win32/Ramnit 病毒，专杀

赛门铁克Ramnit病毒专杀工具(Symantec Ramnit Removal Tool) 2.4.4.3
http://www.52pojie.cn/thread-448020-1-1.html
(出处: 吾爱破解论坛)

苏紫方璇 发表于 2016-10-6 08:50

cqr2287 发表于 2016-10-6 08:03
哦哦，记得..那为什么区段上显示upx呢

他最早是用upx加了个压缩壳，后来又被病毒感染，添加了一个区段，并且把代码入口点改在那个区段中，所以存在upx的区段，但是你所见到的程序入口点却不是upx。当病毒代码走完，他回跳回真正的入口点，那里才是upx

fanuy 发表于 2016-10-1 16:29

KaQqi 发表于 2016-10-1 16:30

fanuy 发表于 2016-10-1 16:29
高手厉害谢谢分享

我是小白小小白

_知鱼之乐 发表于 2016-10-1 16:53

病毒病毒

siuhoapdou 发表于 2016-10-1 16:58

看完這文章之後~覺得這病毒太可怕了~~~

cqr2287大大~~太厲害了~~

KaQqi 发表于 2016-10-1 17:00

siuhoapdou 发表于 2016-10-1 16:58
看完這文章之後~覺得這病毒太可怕了~~~

cqr2287大大~~太厲害了~~

是啊，把我都给感染了..给坛子添了很多乱子

固执与偏见 发表于 2016-10-1 17:42

感谢分享

黑龍 发表于 2016-10-1 17:44

学习了 正常病毒和误报的提示是不一样的

KaQqi 发表于 2016-10-1 17:44

黑龍 发表于 2016-10-1 17:44
学习了 正常病毒和误报的提示是不一样的

知道了，谢谢了。原谅一下

黑龍 发表于 2016-10-1 17:46

cqr2287 发表于 2016-10-1 17:44
知道了，谢谢了。原谅一下

{:301_971:}打我脸了我也是小白

查看完整版本: 对rmnet蠕虫病毒的分析