吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 5920|回复: 12
收起左侧

[PC样本分析] 优盘病毒二级加载机制简单分析

[复制链接]
happyBread 发表于 2022-3-18 20:52
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 happyBread 于 2022-3-18 21:12 编辑

前几天在优盘上发现一病毒, 起意来简单分析一下

行为观察
病毒会感染插入的优盘,把优盘所有文件藏到一个命名为 alt+0160字符的隐藏文件夹里, 并创建一个dll 和 命名为VolumeIndexerGuid的加密shellcode 到这个隐藏文件夹里,最后在优盘根目录创建一个用于启动恶意dll及开启隐藏文件夹的shortcut,并将该shortcut的图标改为优盘图标。
创建的dll文件的名字是由 _ . - 这三个字符生成,长65字符的随机组合,无后缀名。

IDA 静态分析


把dll 文件在ida 里打开发现以下 7 项export

Screenshot_453.png

一个一个打开检查发现主要逻辑都在 _7fLP 这第一个export里

这里病毒用GetModuleFileName 获取自己的文件名, 就是上面说到长度65字符的那个,之后当成参数传到uwzjydwtstq这个function里

Screenshot_454.png
Screenshot_1.png

跟到uwzjydwtstq 的里面,发现原来IndexerVolumeGuid也是病毒的一部分, 在这个function 里读取了IndexerVolumeGuid的内容,之后解密并运行shellcode
Screenshot_2.png

跟进解密流程, 这里发现dll 的文件名不是单纯的乱码, 而是shellcode 的解密密钥, 第一张图是密钥阵列的初始化, 在第二张图里根据dll 文件名进行一系列的操作,最后在第三张图里对shellcode进行解密。


Screenshot_3.png
Screenshot_4.png
Screenshot_5.png

解密出来的shellcode 不落硬盘,直接在内存解密运行,不过后面解密出来的二级shellcode技术有限实在看不懂。

用ida 打开大概长这样
Screenshot_6.png Screenshot_7.png

关于优盘怎么清理, 只要打开隐藏文件夹, 把里面的文件全部拖出来, 最后删除病毒相关文件即可。

病毒样本: https://pan.baidu.com/s/1dunkUbqNqD5eAkrlygZm1A 提取码: mu5a



免费评分

参与人数 4吾爱币 +9 热心值 +3 收起 理由
TTTian1 + 1 + 1 dll 的文件名不是单纯的乱码
Dtdfd + 1 感谢分享
Hmily + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
lu15657150141 + 1 实用

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| happyBread 发表于 2022-7-3 22:02
imsnail 发表于 2022-7-2 08:39
这么容易被杀的病毒?

清除步骤是清除被感染的u盘里的病毒文件罢了, 具体释放出来的病毒有什么效果我也还没去研究
kai1607184525 发表于 2022-3-28 19:03
TakagiMei 发表于 2022-4-2 00:01
咔c君 发表于 2022-4-2 17:03
学习了厉害了
13643128044 发表于 2022-4-7 12:30
学习,进步,666!
runcan 发表于 2022-4-16 09:12
谢谢分享,非常感谢
咔c君 发表于 2022-4-19 10:01
不错学习了
咔c君 发表于 2022-5-5 08:06
学习了厉害了
shutong1 发表于 2022-5-7 05:14
学习,学习
咔c君 发表于 2022-6-8 09:12
不错学习了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 11:14

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表