在52上下载的软件捆绑了病毒
已举报
http://www.52pojie.cn/forum.php? ... p;extra=#pid3581851
举报了之后就试着分析了一下
原程序 Umbrella.exe加了个upx的壳,esp定律直接秒掉。然后把 脱壳后的程序载入 c32中,搜索16进制50450000,找到了第二个 PE头
捆绑的程序无误。
既然已知最新刷QB软件.exe是病毒我们就来看看他到底干了些什么。 其实要想知道最新刷QB软件.exe到底干了什么,我告诉你们一个最快的方法,那就是直接运行。你一运行就知道了,呵呵。 这里我在 虚拟机里运行,以下是软件的监控记录我用的软件是 MyMonitor,我个人感觉这软件还不错,MyMonitor不带沙盘功能,所以要在虚拟机里运行。
这里我一共运行了两次,可以看见在c盘根目录创建了一个dll文件(每次创建的dll文件名都不同)和一个jpg文件,这个jpg多半只是个后缀。 这里我们来到C盘根目录。用C32打开这所谓的jpg文件。
这里记录的最新刷QB.exe的路径,和最近一次释放的dll的路径。 我们再用资源查看工具打来最新刷QB.exe。 (还有之前我弄的时候这个最新刷QB.exe是会自删除的。不过现在不知道怎么这,一直不自删除了,即使关了监控软件也一样,囧。)
看到了吧,其实这个dll文件是以资源的形式存放在exe文件中的。 其实这个程序还释放了一个名为C:\Net-Temp.ini的文件我不知道是干什么的 以下就是ini文件的截图
看见networkservice难道是跟网络有关的? 然后我们用XT看看系统的变化,进程没有看到奇怪的。 我习惯查看服务,然后查看数字签名,重点看没有数字签名和启动方式设为自动的文件。 然后我发现了一个我不认识的服务
并且还开机自启动,没有数字签名,文件后缀好事蛋疼的bmp,看来这就是病毒程序的本尊了。那我们就来问候一下这个文件。 把文件复制一次(因为源文件正在运行,无法打开)打开副本。
看到了熟悉的pe文件头。其实这就是一个dll文件。 查看一下输出表
用xt查看一下,这个dll正在运行中。
前面发现了运行的时候回去访问moji1997.xicp.net这个域名(卧槽1997,不会是97年的大黑阔吧) 查询了一下xicp.net这个网站是注册动态域名的0.0。
资阳的大黑阔。
然后用nmap扫描这个ip看看有什么可以利用的没有 只扫到6059端口 系统是xp sp3 个人电脑不好拿,我还是别弄了毕竟人家是大黑阔,我们这种小菜伤不起。 好了
我们继续分析。 重启电脑 恶意dll文件成功加载
虚拟机里装的金山一套(我会告诉你这虚拟机我是拿来做免杀的吗),貌似大师兄没反应。
这里除了用xt能看见加载了一个dll外,电脑没有任何异常。我初步推断这应该是一个木马程序。把程序载入OD,然后ctrl+n,看一下调用那些api函数
写过网络程序的都应该知道这个api就是创建套接字,在加上还有很多与文件操作、注册表操作相关的api。(木马程序一般都能查看文件,注册表这些)。
这就进一步验证了我的猜想。 还有在查看字符串的时候我看见了gh0st
众所周知gh0st是一款开源的木马,我猜测这是gh0st的改版 拿出尘封已久的gh0st原版,用od载入6to4ex.dll(gh0st释放的dll文件) 对比字符串
Gh0st改版无误,鉴定完毕。
还有以后鉴定程序的时候不要一来就用OD什么的跟,而是要先看一下调用的API函数和字符串。没准就能直接鉴定出来哟。
因为原贴被ko了这里我传一份到百度网盘上
有兴趣的可以看看撒。
http://pan.baidu.com/share/link?shareid=270765&uk=1644595767 | 
[复制链接]
发表于 2013-2-5 20:09
发表于 2013-2-5 20:41
|
发表于 2013-2-5 20:46
