一枚来自小伙伴的病毒

apxar · 发表于 2014-4-22 22:20

本帖最后由 apxar 于 2014-4-22 23:20 编辑

一. 基本信息

文件名称：1.exe

MD5：b656d3e3e2554878863b69eecd1b009f

Sha-1：aa082e95556e934a4376742ab24f97ce638c69a1

来源: http://www.52pojie.cn/thread-247471-1-1.html(来自我们论坛的一位小伙伴)

环境: xp虚拟机+IDA

二.小伙伴说用ida分析报告，那就用IDA分析一下吧，希望尽量能扒光它>_<.

lpFilename的值为：:

当返回失败，即文件不存在时，拷贝母体，然后关闭（图5）

上面Delete函数中的主要操作为提高权限，删除母体，函数主要部分如下

当返回成功时：

进行判断，查MSDN ，16代表The handle that identifies a directory.即一个文件夹

当为文件加时，执行和图5相同的操作，即如下

当不是上面的情况时,判断与系统的文件中的程序是否为同一程序

当不是同一文件时：执行删除文件，然后执行图5 操作（此处省略）

当为同一个程序时：

经过（不研究，只要结果）解密得到地址：http://121.12.115.10:123/ay/od.txt

访问后：

下载文件函数Download如下:

Dll

加载成功后，执行下载:

下载成功后，执行下载后的文件：

由于地址已经失效，无法验证下载后的文件内容，只能简单的分析：

但是后面对ini文件操作部分，显然是取出ini文件格式中的jc,mz,ys,url字段

代码如下：

[Asm] 纯文本查看 复制代码

UPX0:004027F6 push    offset aCWindowsSystem ; lpFileName
UPX0:004027FB push    80h             ; nSize
UPX0:00402800 push    eax             ; lpReturnedString
UPX0:00402801 push    offset Default  ; lpDefault
UPX0:00402806 push    offset KeyName  ; "jc"
UPX0:0040280B push    ecx             ; lpAppName
UPX0:0040280C call    ebp ; GetPrivateProfileStringA
UPX0:0040280E push    offset aCWindowsSystem ; lpFileName
UPX0:00402813 lea     edx, [esp+744h+var_704]
UPX0:00402817 mov     eax, [esp+744h+lpAppName]
UPX0:0040281B push    80h             ; nSize
UPX0:00402820 push    edx             ; lpReturnedString
UPX0:00402821 push    offset Default  ; lpDefault
UPX0:00402826 push    offset aMz      ; "mz"
UPX0:0040282B push    eax             ; lpAppName
UPX0:0040282C call    ebp ; GetPrivateProfileStringA
UPX0:0040282E mov     edx, [esp+740h+lpAppName]
UPX0:00402832 push    offset aCWindowsSystem ; lpFileName
UPX0:00402837 lea     ecx, [esp+744h+var_584]
UPX0:0040283E push    80h             ; nSize
UPX0:00402843 push    ecx             ; lpReturnedString
UPX0:00402844 push    offset Default  ; lpDefault
UPX0:00402849 push    offset aYs      ; "ys"
UPX0:0040284E push    edx             ; lpAppName
UPX0:0040284F call    ebp ; GetPrivateProfileStringA
UPX0:00402851 push    offset aCWindowsSystem ; lpFileName
UPX0:00402856 lea     eax, [esp+744h+var_684]
UPX0:0040285D mov     ecx, [esp+744h+lpAppName]
UPX0:00402861 push    80h             ; nSize
UPX0:00402866 push    eax             ; lpReturnedString
UPX0:00402867 push    offset Default  ; lpDefault
UPX0:0040286C push    offset aUrl     ; "url"
UPX0:00402871 push    ecx             ; lpAppName
UPX0:00402872 call    ebp ; GetPrivateProfileStringA

具有枚举窗体的

功能：

名称的匹配：

根据条件，下载东西

对ie缓存处理，删除

最后删除下载的ini文件

Hacker丶绝筱伦 · 发表于 2014-4-22 22:23

膜拜玩病毒的人

瓜子吧3 · 发表于 2014-4-22 22:24

@willJ 大牛。。。

血染de枫彩 · 发表于 2014-4-22 22:38

对研究病毒不了解，路过支持

64733517 · 发表于 2014-4-22 22:49

膜拜大牛不懂病毒

apxar · 发表于 2014-4-22 23:02

瓜子吧3 发表于 2014-4-22 22:24
@willJ 大牛。。。

刚才网络异常，直接提交了，现在补齐图片了

apxar · 发表于 2014-4-22 23:03

刚才网络异常，直接提交了，现在补齐图片了

apxar · 发表于 2014-4-22 23:25

http://pan.baidu.com/s/1hq41O24 可以直接下载分析的文章

willJ · 发表于 2014-4-24 09:41

很清晰的一篇报告，继续加油

a371569963 · 发表于 2014-4-24 11:30

分析得很不错，学习了

帐号		自动登录	找回密码
密码			注册[Register]

[PC样本分析] 一枚来自小伙伴的病毒

免费评分

点评