吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 6518|回复: 65
收起左侧

[PC样本分析] 某病毒样本分析

  [复制链接]
少年持剑 发表于 2024-2-4 14:03
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
样本来源
样本来源于论坛里的一个帖子:https://www.52pojie.cn/thread-1887329-1-1.html

样本分析
打开网站会下载一个查询5147.bat,用文本工具打开发现是一个exe文件。

bat

bat


该exe执行逻辑比较简单,开始会下载一段shellcode 然后执行。

down

down

Shellcode中包含了一个dll文件,shellcode在完成一些初始化工作后会执行dll中的导出函数Hanshu

该函数大体有以下几个行为:

1.下载一个txt文本
下载一个被加密的txt文件,解密后得到后续需要的文件下载地址。
G]L@P8A`QCQL_[I49%3J`~7.png

2.下载其余模块并存储

根据不同系统版本下载不同的bin文件(该文件用于后续注入到explorer.exe),存放到注册表HKCU\Console\qweasd123zxc
Local/Temp目录下config.ini
ProgramData/config目录下config.ini
其余文件对应关系如图


other

other


3.创建3个链接,并执行

reg

reg

RJQ%0{$X]@ART_DJRTMOD95.png

1

1

B2QPKW6%IB8KE3[TX_X4.png
在执行链接文件前会发送WM_CLOSE窗口消息,尝试关闭某些杀毒软件。

WULK(KE]BN[IWJ5F0()E$_0.png

4.删除一些不需要文件,并将shellcode注入explorer.exe

inject

inject


Shellcode 为之前下载的bin文件,被存储在注册表qweasd123zxc

FUTI6770{)957{I4JW`S$MY.png




到目前位置代码有两个走向一个是 ShellExecuteA 执行的链接文件,另一个是注入到explorer.exe 的shellcode

ShellExecute 会运行quick 程序,quick 在接着运行thunder.exe 并将要执行的注册表语句作为命令行参数传递,thunder.exe 通过注册表将1.exe 作为启动项实现持久化存储


RWT`FYRS06Q7GMQZRT4I]$F.png
1.exe 采用白+黑的形式,加载mhRCPlayer-dll.dll。
mhRCPlayer-dll.dll是一个注入器,会读取C:\\ProgramData\\config\\config.ini,将shellcode 在注入到explorer.exe中
到此代码都走向explorer.exe 的shellcode

Shellcode会先通过TEB获取一些函数地址



getApi

getApi



在根据网站获取ip 建立连接后发送”64”,在进入循环接受数据。



Y62{$G2CF[LK@%PE8%9[5CX.png

con

con



接受的数据会被存储在新分配的一段可执行内存空间中,解密后执行。
]_A]88SP1HYH]AG[_8TC0_5.png


结束

免费评分

参与人数 36威望 +2 吾爱币 +133 热心值 +35 收起 理由
chujopp + 1 + 1 我很赞同!
fr1g + 1 我很赞同!
youyouuu + 1 + 1 我很赞同!
rookie66 + 1 + 1 热心回复!
BotanistGeneva + 1 + 1 热心回复!
SERVICE11 + 1 我很赞同!
iTMZhang + 1 + 1 用心讨论,共获提升!
Linsen1218 + 1 + 1 谢谢@Thanks!
Twenty2k + 1 + 1 谢谢@Thanks!
gs137924 + 1 + 1 用心讨论,共获提升!
Yick + 1 热心回复!
GGBONGQAQ + 1 虽然看不懂,但大为震撼(XB)
Pc616 + 1 + 1 热心回复!
LoganChen + 1 + 1 用心讨论,共获提升!
user52pjuser + 1 + 1 这个解析厉害
JS666 + 1 用心讨论,共获提升!
Yuan_Link + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
17799174247 + 1 我很赞同!
小菜鸟一枚 + 1 + 1 大佬666
pp67868450 + 1 + 1 用心讨论,共获提升!
chuan9 + 1 + 1 谢谢@Thanks!
fengbolee + 2 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
allspark + 1 + 1 用心讨论,共获提升!
gaosld + 1 + 1 热心回复!
ck6102 + 1 + 1 我很赞同!
zhoumeto + 1 + 1 用心讨论,共获提升!
yp17792351859 + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
janken + 1 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
Hmily + 2 + 100 + 1 感谢发布原创作品,吾爱破解论坛因你更精彩!
cscscscs + 1 + 1 我很赞同!
令君怀瑾 + 1 + 1 热心回复!
nojon + 1 + 1 热心回复!
tbb233 + 1 + 1 鼓励转贴优秀软件安全工具和文档!
ufldh + 1 + 1 热心回复!
exluku + 1 + 1 热心回复!
朱朱你堕落了 + 3 + 1 少侠剑术超群,独孤求败!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

JonsenBrown 发表于 2024-4-18 12:12
本人不幸下载了这类病毒,开始杀毒软件拦截了就没在意,但是今天突然卡死于是想起杀毒,查到了一个后门程序,同时一直有个弹窗报runfile.exe错误,anonymous\mhRCPlayer-dll.dl未找到,于是找到该贴,进一步发现自己被监控了好几天,在某个文件夹中保存有许多微信截图(目前没有发现重要内容),根据该贴提示,已经删除了病毒文件,感谢题主,希望后续没事了
yinsel 发表于 2024-2-4 18:25
请教一下大佬,为啥IDA这里能显示字符串,我的IDA没有阿,还有这个downloadFile符号,我是学了一点点,不太了解
134743txl8q83ccdqg8663.png
jstar 发表于 2024-2-4 14:30
yinsel 发表于 2024-2-4 15:35
厉害了大佬,能学习一些新的分析技术!
hyggeXY 发表于 2024-2-4 16:31
厉害厉害
 楼主| 少年持剑 发表于 2024-2-4 18:32
yinsel 发表于 2024-2-4 18:25
请教一下大佬,为啥IDA这里能显示字符串,我的IDA没有阿,还有这个downloadFile符号,我是学了一点点,不太 ...

这里你需要自己调整变量的类型,才能识别字符串,downloadFile是重命名的
nojon 发表于 2024-2-4 18:42

厉害了大佬
天心阁主 发表于 2024-2-5 13:03
谢谢大佬分享
a66230 发表于 2024-2-5 15:48
干货,感觉学习一下
sheron888 发表于 2024-2-5 16:18
学习了,谢谢大佬
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-21 20:03

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表