吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 8301|回复: 32
收起左侧

[PC样本分析] 一个DLL注入病毒分析

  [复制链接]
初七的果子狸 发表于 2021-5-28 17:20
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 初七的果子狸 于 2021-5-30 15:35 编辑

前言
学无止境、道阻且长啊。继续分析病毒的旅程,这次是一个DLL注入病毒。

病毒名称:bea213f1c932455aee8ff6fde346b1d1960d57ff
样本MD5:6E4B0A001C493F0FCF8C5E9020958F38
链接:https://pan.baidu.com/s/1zA8ZKZfCr1LjdLxWKlIf5Q
提取码:fi7k
一、基础行为分析
1、病毒查壳
无壳,也没有什么特殊信息,很正常的一个信息
1.png
2、加密算法
含有大数运算
2.png
3、云沙箱分析
使用微步云沙箱分析
3.png
4.png

5.png
二、主要行为分析
通过火绒剑过滤进程行为,可以看到病毒释放了一个压缩包(g.zip)和一个dll文件(locale.dll),然后对资源管理器进行注入,最后自删除。
6.png

病毒执行完成后会访问某恶意网站,从而下载所需。由于该恶意网站已被查封,故无法访问成功

7.png
当然也可以使用fakenet模拟虚拟网络环境,这样可以更清楚的观察到病毒的操作流程
[Asm] 纯文本查看 复制代码
http://www.kahusecurity.com/downloadsConverter_v0.14.7z

[img]http://paperlief.com/images/crows-flying-away-wallpaper-3.jpg[/img]

8.png
三、恶意代码分析
1、sub_402A10
main函数首先获取进程相关联的控制台窗口句柄,以隐藏的方式运行。然后进入TraversalTerminateProcess函数,函数执行了三次,每次传入的数据都是检测工具的进程名,看到这个函数内部获取快照遍历进程,并出现TerminateProcess api函数,推测是检测是否存在检测工具并杀死检测工具进程。
9.png
10.png


给edx赋值路径

11.png
12.png


完成对路径C:\Users\VicZ\AppData\Local\Temp\x.zip的拼接

13.png
14.png


在402B90处通过this指针传入一串混乱的字符串,并调用sub_402990函数进行解密

15.png
16.png
17.png
[Asm] 纯文本查看 复制代码
7z4..1v0r_teernvCos/adlowndom/coy.iturecusah.kww/w:/tpht
http://www.kahusecurity.com/downloadsConverter_v0.14.7z

18.png


再往下还有一张图片待下载,同上还有对路径C:\Users\VicZ\AppData\Local\Temp\g.zip的拼接

19.png
20.png
21.png
[Asm] 纯文本查看 复制代码
# 该网址由于已被废弃,因此无法访问
jp3.r-pepallway-wa-angyifls-owcrs/gema/iom.ceflierap/p:/tphtg
[img]http://paperlief.com/images/crows-flying-away-wallpaper-3.jpg[/img]

通过在线云沙箱可以拿到这个图片(原网址已不可访问,无法正常下载)
22.png


下面先设置文件属性,然后获取一串16进制数据

23.png


通过sub_401F00函数转化出ASCII码cmd.exe /C ping 127.0.0.1 && del

24.png
2、sub_402110
用于判断文件是否下载成功
25.png
3、sub_402690
该函数首先创建一个文件:C:\windows\system32\locale.dll,获取缓冲区首地址,解密缓冲区内容为一个PE文件,将缓冲区内容写入到locale.dll文件中
26.png
27.png


循环解密部分

28.png


线程注入部分
先将notepad.exe进程创建的时间设置为C:\windows\system32\locale.dll创建的时间,然后远程线程注入explorer.exe

29.png
30.png
4、网址解密脚本
[Python] 纯文本查看 复制代码
# python2
# foxcookie.github.io
str1 = '7z4..1v0r_teernvCos/adlowndom/coy.iturecusah.kww/w:/tpht'
str1 = str1[::-1]
num = len(str1)
list1 = list(str1)
i = 0

for k in range(num/4):
        list1[i],list1[i+1],list1[i+2],list1[i+3] = list1[i+1],list1[i],list1[i+3],list1[i+2]
        i = i + 4
str2 = ''.join(list1)
print(str2)

解密原理:
逆序
四位一组
1 2换位、3 4换位
5、locale.dll
入口函数
31.png


sub_1000162A函数用于获取时间信息

32.png


sub_10001362函数

33.png


StartAddress函数
循环解密出http://d1picvugn75nio.cloudfront.net,然后调用浏览器访问

34.png


sub_10001188函数,根据传入值判断返回何种结果

35.png


传入值为1时

36.png


传入值为2时

37.png


传入值不为3时

38.png
四、手动查杀木马
1、删除cookies目录下生成的两个文件

2、删除生成的注册表

3、删除下载的文件

4、删除C:\windows\system32\locale.dll文件

五、参考链接
https://blog.csdn.net/weixin_44001905/article/details/98963175





免费评分

参与人数 11吾爱币 +14 热心值 +10 收起 理由
lingyun011 + 1 用心讨论,共获提升!
Hmily + 5 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
努力加载中 + 1 + 1 热心回复!
从农菜菜籽 + 1 + 1 我很赞同!
xiaohanjss + 1 + 1 用心讨论,共获提升!
yan182 + 1 + 1 我很赞同!
nshark + 1 + 1 我很赞同!
lyslxx + 1 + 1 我很赞同!
一叶丶 + 1 + 1 我很赞同!
YMYS + 1 + 1 用心讨论,共获提升!
lingyan + 1 我很赞同!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| 初七的果子狸 发表于 2021-5-29 13:00
wanshiz 发表于 2021-5-29 07:54
楼主算大佬级了。浏览了大贴对dll的注入有了基本的了解。总觉得那个有点难对付的。

唔,平常的病毒杀软会直接报毒。就怕新型病毒,没被收录的。就只能依靠自己的直觉了,毕竟这也是没办法的事情。
 楼主| 初七的果子狸 发表于 2021-7-7 15:19
jackx 发表于 2021-7-6 20:39
样本链接失效了

我这看起来没问题啊,会不会是你网络的问题。或者你可以去 https://app.any.run/ 这个网站上下载,直接用MD5值搜索就行。
test.png
zigzag 发表于 2021-5-28 17:41
lies2014 发表于 2021-5-28 17:45
样本链接失效了
sam喵喵 发表于 2021-5-28 18:11
长见识了,知道fakenet-NG,感谢分享
无能的侦探 发表于 2021-5-28 18:15
有点儿意思
lingyan 发表于 2021-5-28 18:32
这个病毒有意思
 楼主| 初七的果子狸 发表于 2021-5-28 19:51

多谢提醒,已修复
wanshiz 发表于 2021-5-29 07:54
楼主算大佬级了。浏览了大贴对dll的注入有了基本的了解。总觉得那个有点难对付的。
吾爱PYB 发表于 2021-5-29 10:35
学废了,谢谢分享
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:29

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表