吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 6168|回复: 42
收起左侧

[PC样本分析] 一次快乐午休时光之后的应急病毒样本分析

  [复制链接]
5yes 发表于 2023-3-13 14:12
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 5yes 于 2023-3-13 14:25 编辑

某天,正沉浸在午休快乐时光,突然我的2018年神级电脑微信客户端跳出一条消息Xx单位中了勒索
image.png

我当场跳了,一看,加密后缀是Devos,是Phobs勒索家族的的分支 因为来不及去现场,遂叫先自查一下这个路径
将文件加密压缩后进行分析(应急完成之后)

image.png
将文件加密压缩后进行分析(应急完成之后)

从入口函数出发
image.png
跟进Sub_403F14(获得文件句柄)->Sub_402E4C       发现是异常函数RaiseException函数,通过RtlUnwind函数生成异常,目的是在异常处理中改变程序的执行流程,触发异常,增加调试时间,忽略即可
image.png
sub_4070DC 初步看是跟文件和多线程相关

跟进sub_4049D0
image.png
不会执行commanlinaA
image.png
跟到8186
image.png

接下走到 sub_00407678->sub_00405008
image.png

跟进  dec循环 一千多次,直接在下面下个断点F4运行完
image.png

然后 检索为临时文件指定的目录的路径
image.png
sub_00407678->sub_004031C4 //5008下面
image.png
sub_004031C4循环edx得到的临时路径,循环完跳出
image.png
image.png
5200之前就不看了
image.png


跟进sub_00405200
image.png

跟进sub_00405200-> sub_405080
image.png
通配符寻找文件夹然后关闭

image.png
退出到sub_00407678,主要是看一下红框部分
image.png

发现3214创建文件夹

image.png
Sub_00407678->sub_00405b24
image.png
image.png
再跟细一点就是Sub_00407678->sub_00405b24->sub_404B68

image.png
image.png
重点观察的红框shellexute那里可以看到通过shellexecuteA 运行了我们之前看到在tp临时目录下生成的fast
image.png

到这却还没有进行加密文件,那么加密函数应该是在这个释放的fast里面,先压缩下次分析(主要是懒)
forum.png

免费评分

参与人数 5吾爱币 +11 热心值 +5 收起 理由
nnjkk3 + 1 + 1 我很赞同!
Hmily + 7 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
Huang210 + 1 + 1 虽然看不懂,但是好6
zfpapio + 1 + 1 我很赞同!
xj472055 + 1 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

gaoxugx 发表于 2023-3-13 15:07
真厉害,支持支持
daishuadaishu 发表于 2023-3-13 16:04
DreamWave 发表于 2023-3-13 16:56
快乐的小跳蛙 发表于 2023-3-13 17:21
分享下样本
jianghan251 发表于 2023-3-13 20:17
厉害厉害,可以啊
15208939712 发表于 2023-3-13 21:38
厉害厉害,可以啊
li000yu 发表于 2023-3-14 00:41
不明觉厉  哈哈哈
列明 发表于 2023-3-14 06:45
看见几个比较熟悉的系统API,就知道那几句的功能了。
dami 发表于 2023-3-14 09:07
爆杀病毒,真的爽到~
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:36

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表