本帖最后由 BurYiA 于 2022-8-21 09:05 编辑
前言
病毒分析新人报道
之前自己分析过的一个样本,但是当时没有好好做,拉出来重新看一下
这遍分析下来发现还是有些地方有些模糊,还望师傅们多多指点
下面是这次的分析报告
基本信息
样本类型:PE32
样本文件大小:15872(15.50 kB)
样本文件MD5 校验值:56b2c3810dba2e939a8bb9fa36d3cf96
样本文件SHA1 校验值:99ee31cd4b0d6a4b62779da36e0eeecdd80589fc
壳信息:ASPack(2.12-2.42)[-]
样本下载:https://wwi.lanzoup.com/iFR7x08idt8h 密码:virus【压缩包密码:infected】
简介
经过分析,该病毒为一个“下载器+注入器”,他会下载云端的5个文件(k1.rar, k2.rar, k3.rar, k4.rar, k5.rar 文件格式实际为可执行exe),并且在下载完成后会将自身复制到符合条件的exe尾部
文件系统变化
程序会使用的临时文件夹:C:\Users\【用户名】\AppData\Local\Temp\
注册表变化
将要被创建的注册表键
HKU\S-1-5-21-1154830284-2183519305-1153629013-1000\Software\Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\GTplus
HKU\S-1-5-21-1154830284-2183519305-1153629013-1000_Classes\VirtualStore\MACHINE\SOFTWARE\Wow6432Node\GTplus
网络症状
从 http【:】//ddos【.】dnsnb8【.】net【:】799/cj/ 下载文件
详细分析/功能介绍
当样本被运行后,会进行如下操作:
1. 检测当前的系统版本,当版本小于6时进行提权
1
2. 多线程下载远程服务器上的文件至本地Temp文件夹中并执行
一共有五个文件
2
3. 程序将自身读取到内存中,遍历全盘文件将自身加到符合条件的程序末尾
3
3.1 遍历文件时会有选择的跳过部分文件夹
4
标记信息来源于之前解密的一块内存
5
3.2 程序会对部分exe文件以及Temp目录中的rar进行操作
针对符合要求的rar文件,程序会对其解压并遍历内容做查找注入操作,完成后将其重新打包
6
使用的解压/压缩程序来自于从本机 C:\Program Files (x86)\WinRAR\ 路径下复制的Rar.exe
7
并且使用结束后会对其(Temp目录下的复制文件)进行删除
8
3.3 针对符合要求的exe文件,程序会对其进行更改注入本体
在其尾部插入程序本体
9
并更改文件头
对比发现对程序头做了以下操作:
- NT头——文件头:
- NT头——可选头:
- 所有含有代码的区块的大小 SizeOfCode+0x4200
- 程序执行人口(RVA)0x8AFB-->0x22000
- 映像载入内存后的总尺寸 SizeOfImage + 0x5000
- 映像校验和 CheckSum 0x1D0E2-->0x0 ?
- 节区表
被感染的程序在执行时首先会在Temp目录下释放执行病毒文件,再去执行原始内容
4. 增加SOFTWARE\GTplus注册表项
11
对比程序运行前后的注册表项可以得知增加的注册表项以及内容是:
HKU\S-1-5-21-3004234692-1880326442-2713182905-1000\Software\Classes\VirtualStore\MACHINE\SOFTWARE\WOW6432Node\GTplus\Time: F3 D7 E5 D2 27 9F D8 01
HKU\S-1-5-21-3004234692-1880326442-2713182905-1000_Classes\VirtualStore\MACHINE\SOFTWARE\WOW6432Node\GTplus\Time: F3 D7 E5 D2 27 9F D8 01
5. 程序自删除
删除运行位置的原始程序
12
| 
[复制链接]
发表于 2022-8-6 20:13
|
发表于 2022-8-7 18:53
