一枚来自小伙伴的病毒

apxar

一.  基本信息

文件名称：1.exe

MD5：b656d3e3e2554878863b69eecd1b009f

Sha-1：aa082e95556e934a4376742ab24f97ce638c69a1

来源: http://www.52pojie.cn/thread-247471-1-1.html(来自我们论坛的一位小伙伴)

环境: xp虚拟机+IDA

二.小伙伴说用ida分析报告，那就用IDA分析一下吧，希望尽量能扒光它>_<.

lpFilename的值为：:

当返回失败，即文件不存在时，拷贝母体，然后关闭（图5）

上面Delete函数中的主要操作为提高权限，删除母体，函数主要部分如下

当返回成功时：

进行判断，查MSDN ，16代表The handle that identifies a directory.即一个文件夹

当为文件加时，执行和图5相同的操作，即如下

当不是上面的情况时,判断与系统的文件中的程序是否为同一程序

当不是同一文件时：执行删除文件，然后执行图5 操作（此处省略）

当为同一个程序时：

经过（不研究，只要结果）解密得到地址：http://121.12.115.10:123/ay/od.txt

访问后：

下载文件函数Download如下:

Dll

加载成功后，执行下载:

下载成功后，执行下载后的文件：

由于地址已经失效，无法验证下载后的文件内容，只能简单的分析：

但是后面对ini文件操作部分，显然是取出ini文件格式中的jc,mz,ys,url字段

代码如下：

[Asm] 纯文本查看 复制代码

?

01 02 03 04 05 06 07 08 09 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34

UPX0:004027F6 push    offset aCWindowsSystem ; lpFileName UPX0:004027FB push    80h            ; nSize UPX0:00402800 push    eax            ; lpReturnedString UPX0:00402801 push    offset Default ; lpDefault UPX0:00402806 push    offset KeyName ; "jc" UPX0:0040280B push    ecx            ; lpAppName UPX0:0040280C call    ebp ; GetPrivateProfileStringA UPX0:0040280E push    offset aCWindowsSystem ; lpFileName UPX0:00402813 lea     edx, [esp+744h+var_704] UPX0:00402817 mov     eax, [esp+744h+lpAppName] UPX0:0040281B push    80h            ; nSize UPX0:00402820 push    edx            ; lpReturnedString UPX0:00402821 push    offset Default ; lpDefault UPX0:00402826 push    offset aMz     ; "mz" UPX0:0040282B push    eax            ; lpAppName UPX0:0040282C call    ebp ; GetPrivateProfileStringA UPX0:0040282E mov     edx, [esp+740h+lpAppName] UPX0:00402832 push    offset aCWindowsSystem ; lpFileName UPX0:00402837 lea     ecx, [esp+744h+var_584] UPX0:0040283E push    80h            ; nSize UPX0:00402843 push    ecx            ; lpReturnedString UPX0:00402844 push    offset Default ; lpDefault UPX0:00402849 push    offset aYs     ; "ys" UPX0:0040284E push    edx            ; lpAppName UPX0:0040284F call    ebp ; GetPrivateProfileStringA UPX0:00402851 push    offset aCWindowsSystem ; lpFileName UPX0:00402856 lea     eax, [esp+744h+var_684] UPX0:0040285D mov     ecx, [esp+744h+lpAppName] UPX0:00402861 push    80h            ; nSize UPX0:00402866 push    eax            ; lpReturnedString UPX0:00402867 push    offset Default ; lpDefault UPX0:0040286C push    offset aUrl    ; "url" UPX0:00402871 push    ecx            ; lpAppName UPX0:00402872 call    ebp ; GetPrivateProfileStringA

具有枚举窗体的

功能：

名称的匹配：

根据条件，下载东西

对ie缓存处理，删除

最后删除下载的ini文件

最后删除下载的ini文件

Hacker丶绝筱伦

膜拜玩病毒的人

瓜子吧3

@willJ 大牛。。。

血染de枫彩

对研究病毒不了解，路过支持

64733517

膜拜大牛 不懂病毒

apxar

瓜子吧3 发表于 2014-4-22 22:24
@willJ 大牛。。。

刚才网络异常，直接提交了， 现在补齐图片了

apxar

刚才网络异常，直接提交了， 现在补齐图片了

apxar

http://pan.baidu.com/s/1hq41O24 可以直接下载分析的文章

willJ

很清晰的一篇报告，继续加油

a371569963

分析得很不错，学习了