吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 7416|回复: 48
收起左侧

[PC样本分析] 伪造docx病毒文件的逆向分析

  [复制链接]
c_kongfe 发表于 2021-4-8 14:43
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!



1.病毒文件的基本信息分析

1.1 病毒文件具体展示
病毒文件用的资源图标是wps的图标,以此让大家误认为是docx文件,最终是为了诱导大家点击打开病毒文件。
640.png


1.2 病毒信息具体提示
打开解压病毒文件以及打开病毒文件就会被杀毒软件提示是恶意软件,它属于trojan.generic病毒。
640 (1).png


1.3 trojan.generic病毒的定义信息
trojan.generic它是计算机木马名称,启动后会从体内资源部分释放出病毒文件,有些在WINDOWS下的木马程序会绑定一个文件,将病毒程序和正常的应用程序捆绑成一个程序,释放出病毒程序和正常的程序,用正常的程序来掩盖病毒。病毒在电脑的后台运行,并发送给病毒制造者。这些病毒除有正常的危害外,还会造成主流杀毒软件和个人防火墙无法打开,甚至导致杀毒时系统出现“蓝屏”、自动重启、死机等状况。

1.4 分析病毒的加壳情况
通过Exeinfo PE工具可以分析出该病毒样本是没有加壳的样本,并且是64位程序。通过区段表信息可以看到它是个常规的PE文件。
640 (2).png


1.5 分析病毒所依赖的模块信息
通过CFF Explorer工具可以查看该病毒样本主要依赖如下的5个模块信息。
640 (3).png


1.6 监控病毒文件行为
通过Procmon进程监控工具进行可以监控进程启动时,该病毒文件会删除自身文件,并重新创建一个新docx文件并将原来的文件内容写入到文件中。

640 (4).png

下面是病毒运行后释放出来的原始文件,第二个文件是为了分析用,不让其进行自动删除病毒文件。

640 (5).png

2.病毒文件的关键功能信息分析


2.1 病毒样本的反调试功能
背景:OllyDbg动态逆向分析工具附加病毒文件进程,病毒文件就直接退出了,所以猜测该病毒样本具体反调试功能。

病毒样本的反调试功能函数:IsDebuggerPresent()

过掉反调试功能:通过API Hook(可以用微软Detours库)方式将反调试功能函数给Hook掉,让其反调试功能失效,这样我们的ollydbg动态调试工具才能正常调试。

640 (6).png

IsProcessorFeaturePresent()函数详解

640 (7).png

IsDebuggerPresent()函数详解
640 (8).png


2.2 每次只能启动一个病毒样本实例
通过创建互斥体CreateMutexA()方式进行实现功能
640 (9).png


CreateMutex()函数详解
640 (10).png


2.3 病毒文件结束自身进程
释放完原始的docx文件后,病毒文件就通过如下方式进行结束自身进程,并通过获取mscofee模块中未导出的函数并调用corExitProcesss函数实现关闭当前进程的非托管进程。

640 (11).png

2.4 启动原始的docx文件
通过CreateProcess()函数方式进行启动打开docx文件。

640 (12).png

2.5 进行信息收集上传
通过TCP网络传输方式进行数据的信息收集并上传到病毒服务器(服务器ip在山西某地)上。
图222片1.png
3. 总结
通过对该病毒样本的基本信息分析,可以了解到该病毒的整个流程是:启动病毒文件获取病毒文件的路径及文件相关信息,释放出原始的文件到病毒文件所在的路径,并将运行的环境信息上传到病毒服务器,接着自动删除病毒文件,最后启动原始的文件。

通过对病毒逆向分析,可以了解到调用IsDebuggerPresent()函数可以实现反调试检测功能。

免费评分

参与人数 10吾爱币 +13 热心值 +9 收起 理由
co1aY + 1 + 1 热心回复!
pj527788 + 1 谢谢@Thanks!
Hmily + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
技术少年 + 1 + 1 热心回复!
红烧排骨 + 1 热心回复!
爱你小吉君 + 1 已经处理,感谢您对吾爱破解论坛的支持!
小小莱 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
杨辣子 + 1 + 1 分析的头头是道!
封尘OL + 1 + 1 我很赞同!
龍龖龘 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| c_kongfe 发表于 2021-8-4 15:04
FlyingFire 发表于 2021-8-3 16:28
分析这种恶意软件是需要一行一行代码去读懂吗?还是找调用系统API的地方再反推其基本功能。楼主分享点经验 ...

不需要一行行读懂,但是要吧关键流程功能读懂。通过调用系统api去反推是一个方式。
alanyelan 发表于 2021-4-8 15:28
这也是为啥,电脑上文件名后缀从来不隐藏的原因。
key_user 发表于 2021-4-8 14:49
飘动的云 发表于 2021-4-8 14:57
感谢大佬分享
wfcaicai 发表于 2021-4-8 15:15
学习学习,谢分享
Flyblove 发表于 2021-4-8 16:04
感谢分享,学习了
wraefw 发表于 2021-4-8 16:42
所以这个文件的后缀是docx,还是exe?
zhzhch335 发表于 2021-4-8 16:43
真要是不显示后缀名很容易中招啊
xiaobaobei2020 发表于 2021-4-8 16:44
大神就是大神,像我这样的渣渣,能把360安全用吉米就不错了。
hqt 发表于 2021-4-8 18:06
wraefw 发表于 2021-4-8 16:42
所以这个文件的后缀是docx,还是exe?

是exe,只要显示扩展名应该就不会中招
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:52

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表