吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 27574|回复: 67
收起左侧

[PC样本分析] 一枚来自小伙伴的病毒

  [复制链接]
apxar 发表于 2014-4-22 22:20
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
本帖最后由 apxar 于 2014-4-22 23:20 编辑

一.  基本信息
文件名称:1.exe
MD5:b656d3e3e2554878863b69eecd1b009f
Sha-1:aa082e95556e934a4376742ab24f97ce638c69a1
来源: http://www.52pojie.cn/thread-247471-1-1.html(来自我们论坛的一位小伙伴)
环境: xp虚拟机+IDA

二.小伙伴说用ida分析报告,那就用IDA分析一下吧,希望尽量能扒光它>_<.
1.jpg
2.jpg
lpFilename的值为::

3.jpg 4.jpg

当返回失败,即文件不存在时,拷贝母体,然后关闭(图5
5.jpg


上面Delete函数中的主要操作为提高权限,删除母体,函数主要部分如下
6.jpg
当返回成功时:
7.jpg
进行判断,查MSDN 16代表The handle that identifies a directory.即一个文件夹
8.jpg

当为文件加时,执行和图5相同的操作,即如下


当不是上面的情况时,判断与系统的文件中的程序是否为同一程序

9.jpg
当不是同一文件时:执行删除文件,然后执行5 操作(此处省略)

10.jpg
当为同一个程序时:
11.jpg


经过(不研究,只要结果)解密得到地址:http://121.12.115.10:123/ay/od.txt

访问后:

12.jpg
下载文件函数Download如下:


13.jpg Dll
加载成功后,执行下载:
14.jpg
下载成功后,执行下载后的文件:
15.jpg



由于地址已经失效,无法验证下载后的文件内容,只能简单的分析:
但是后面对ini文件操作部分,显然是取出ini文件格式中的jc,mz,ys,url字段
代码如下:
[Asm] 纯文本查看 复制代码
UPX0:004027F6 push    offset aCWindowsSystem ; lpFileName
UPX0:004027FB push    80h             ; nSize
UPX0:00402800 push    eax             ; lpReturnedString
UPX0:00402801 push    offset Default  ; lpDefault
UPX0:00402806 push    offset KeyName  ; "jc"
UPX0:0040280B push    ecx             ; lpAppName
UPX0:0040280C call    ebp ; GetPrivateProfileStringA
UPX0:0040280E push    offset aCWindowsSystem ; lpFileName
UPX0:00402813 lea     edx, [esp+744h+var_704]
UPX0:00402817 mov     eax, [esp+744h+lpAppName]
UPX0:0040281B push    80h             ; nSize
UPX0:00402820 push    edx             ; lpReturnedString
UPX0:00402821 push    offset Default  ; lpDefault
UPX0:00402826 push    offset aMz      ; "mz"
UPX0:0040282B push    eax             ; lpAppName
UPX0:0040282C call    ebp ; GetPrivateProfileStringA
UPX0:0040282E mov     edx, [esp+740h+lpAppName]
UPX0:00402832 push    offset aCWindowsSystem ; lpFileName
UPX0:00402837 lea     ecx, [esp+744h+var_584]
UPX0:0040283E push    80h             ; nSize
UPX0:00402843 push    ecx             ; lpReturnedString
UPX0:00402844 push    offset Default  ; lpDefault
UPX0:00402849 push    offset aYs      ; "ys"
UPX0:0040284E push    edx             ; lpAppName
UPX0:0040284F call    ebp ; GetPrivateProfileStringA
UPX0:00402851 push    offset aCWindowsSystem ; lpFileName
UPX0:00402856 lea     eax, [esp+744h+var_684]
UPX0:0040285D mov     ecx, [esp+744h+lpAppName]
UPX0:00402861 push    80h             ; nSize
UPX0:00402866 push    eax             ; lpReturnedString
UPX0:00402867 push    offset Default  ; lpDefault
UPX0:0040286C push    offset aUrl     ; "url"
UPX0:00402871 push    ecx             ; lpAppName
UPX0:00402872 call    ebp ; GetPrivateProfileStringA

具有枚举窗体的
16.jpg 功能:


名称的匹配:
17.jpg

根据条件,下载东西
18.jpg

ie缓存处理,删除


19.jpg 最后删除下载的ini文件

最后删除下载的ini文件
20.jpg




免费评分

参与人数 3热心值 +3 收起 理由
www52pojiecn + 1 谢谢@Thanks!
7532427 + 1 谢谢@Thanks!
九零-鑫鑫 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩.

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

头像被屏蔽
Hacker丶绝筱伦 发表于 2014-4-22 22:23
膜拜玩病毒的人
瓜子吧3 发表于 2014-4-22 22:24
血染de枫彩 发表于 2014-4-22 22:38
64733517 发表于 2014-4-22 22:49
膜拜大牛 不懂病毒
 楼主| apxar 发表于 2014-4-22 23:02

刚才网络异常,直接提交了, 现在补齐图片了
 楼主| apxar 发表于 2014-4-22 23:03
刚才网络异常,直接提交了, 现在补齐图片了
 楼主| apxar 发表于 2014-4-22 23:25
http://pan.baidu.com/s/1hq41O24 可以直接下载分析的文章
willJ 发表于 2014-4-24 09:41
很清晰的一篇报告,继续加油

点评

师傅带我玩病毒。  发表于 2014-4-26 12:49
a371569963 发表于 2014-4-24 11:30
分析得很不错,学习了
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-28 07:41

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表