吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 15014|回复: 33
收起左侧

[PC样本分析] 简单分析骷髅病毒

  [复制链接]
buzhifou01 发表于 2019-11-29 16:05
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
0x1 骷髅病毒信息
  • 病毒进程
2345截图20191128111052.png

  • 病毒检测信息

2345截图20191129103358.png

0x2 脱壳
  •   骷髅病毒加的壳为Upx壳,用ESP定律法即可脱壳。
2345截图20191128112746.png
  • 脱壳过程:首先加载程序,按f8,在内存中显示esp中的地址内容,随后下硬件断点,按f9,单步几下就到oep了。
2345截图20191128112927.png
2345截图20191128113026.png
2345截图20191128113048.png


0x3 使用工具
  • IDA
  • autoruns
  • processMoniter

0x4 行为分析
  • 脱完壳后,运行程序,会发现病毒进程消失,据此可以判断该病毒把自身样本文件给删除了,在其他路径下创建了自己的进程

  • 运行之后,打开autoruns和processmoniter,在processmoniter中可以看到带骷髅图案的rchnmu.exe进程,显然该进程为骷髅病毒并且在c:\windows目录下
2345截图20191128154249.png

  • 随后在PM中添加过滤条件只看rchnmu进程,发现该进程创建了很多恶意线程。
2345截图20191128153534.png

  • 在autoruns中可以看到,该病毒在注册表项中创建了自身的服务,用于自启动rchnmu进程
2345截图20191128155650.png

0x5 ida分析
  • 找到main函数,并摁f5分析,进入sub_405A52函数,下面两个图中都有"15654656",在第四章autoruns分析部分,我们可以看到这个字符串,sub_405A52函数是在判断自身创建的服务项是不是已被创建,如果没有创建则main函数调用sub_405B6E创建自启动服务项。
2345截图20191129103946.png

2345截图20191129104029.png


  • 在字符串窗口可以看到%c%c%c%c%ccn.exe,显然这个地方跟创建自身exe文件有关,找到调用的地方,exe文件名的生成跟函数sub_406c30有关,进入sub_406c30函数,发现rand函数和getTickCount函数一起生成exe文件名。
2345截图20191129111825.png


2345截图20191129112122.png

2345截图20191129112308.png


  • 接着往下拉,发现函数sub_40355B,进入,发现删除样本文件的代码,先是生成字符串"/c del >nul",接着调用 ShellExecuteEx函数运行。运行之后,设置进程优先级和线程优先级
2345截图20191129113059.png

2345截图20191129113211.png

  • 找到调用RegOpenKeyExA函数的地方,发现这里判断了注册表服务项是否创建成功,也即判断病毒是否运行成功,接着往下拉,发现下面的代码往exe文件中添加了资源。
2345截图20191129114835.png

temp.png

  • 在上面的行为分析中,发现病毒创建了几个线程,接着分析这几个恶意进程,找到调用CreateThread函数,首先分析第一个线程,可以看到这个函数有很多用户名和密码信息,接着获取主机名,图中h_addr_list其实是一个指针数组,数组中每个元素都是in_addr型指针,随后把网络字节顺序,转成正常的字符并向向sockaddr_in赋值,接着进入sub_40961c函数。
2345截图20191129143137.png

2345截图20191129143520.png

2345截图20191129143626.png

image.png

  • 在sub_40961c函数中发现该线程分别往C,D,E盘创建glfd.exe,并且获取系统时间,接着调用WinExec执行新建的exe文件,让线程休眠500ms。如果没有在C,D,E盘创建成功则会在f创建个g1fd.exe文件,但不会立即执行该exe文件。
2345截图20191129144812.png

2345截图20191129145219.png

  • 分析第二个线程,调用WSAStartup函数完成对Winsock服务的初始化,意味要使用Socket的程序,接着调用localtime函数获本地时间和日期,随后用atoi函数处理时间字符串直到值大于20130221,接着sleep100ms,接着调用setsockopt获取套接字关联选项。在StartAddress内部访问一个短地址aa.re67das.com,然后利用socket链接获取IP地址,随后往已经连接的socket发送数据。

2345截图20191129150537.png

temp.png

image.png

2345截图20191129154535.png

2345截图20191129150537.png

骷髅病毒.rar

16.72 KB, 下载次数: 123, 下载积分: 吾爱币 -1 CB

免费评分

参与人数 9吾爱币 +8 热心值 +9 收起 理由
ls0928 + 1 + 1 热心回复!
siuhoapdou + 1 + 1 用心讨论,共获提升!
willJ + 3 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
chenshiyiya + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
昏睡摸鱼 + 1 + 1 膜拜大佬
heweilunqq + 1 + 1 我很赞同!
EXP2333 + 1 我很赞同!
baixiuxiu + 1 + 1 谢谢@Thanks!
liphily + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

HallOFSky 发表于 2019-11-29 16:44
是干货!大佬厉害!
18603867890 发表于 2019-12-1 08:56
https://s.threatbook.cn/report/file/5e15cb0b8a2329d1eb8d5c619f4ebf1c6fae3eab19cd18bf459f5aada1109cd5/?sign=history&env=win7_sp1_enx86_office2013
hannibal 发表于 2019-11-29 16:39
blmk 发表于 2019-11-29 16:49
厉害了 大佬 支持一下
头像被屏蔽
w5645060 发表于 2019-11-29 17:15
提示: 作者被禁止或删除 内容自动屏蔽
空空如也丫 发表于 2019-11-29 17:15
日常膜拜
黑色切线 发表于 2019-11-29 17:50
内网传播 不知道有没有效果
 楼主| buzhifou01 发表于 2019-11-29 21:14
w5645060 发表于 2019-11-29 17:15
不出意外的话这应该是是个远控木马或者DDOS木马吧,分析的不完全么,就这么点功能?

额,是啊,有些功能还在进一步分析中,分析出来了补上
只有汝丶 发表于 2019-11-29 21:15
666666666
张傻子 发表于 2019-11-29 23:05
大佬,解压密码是什么啊?
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:44

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表