好友
阅读权限10
听众
最后登录1970-1-1
|
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
今天去学校打印店打印,插上U盘之后,瞬间不好的事情就发生了:
1、U盘里面只剩下一个MyDocuments.exe,伪装成文件夹图标
2、所有的文件都没了……被放到了一个隐藏的系统文件夹里面。
于是只好淡定地打印完之后,回来开始分析这个MyDocuments.exe,看看到底干了些什么……
首先用PEID侦壳:
加了UPX壳,压力不大……小心翼翼扔到OD里面脱壳,使用ESP定律,找到OEP:
用LoadPE dump程序,用ImportREC进行修复转存文件:
然后脱壳完成,是VC6的程序:
1、时间触发的后门分析
接下来把脱壳后的程序扔到IDA里面F5看算法, main函数的前半部分功能:
其中关键后门函数在sub_401150:
这里可以看到,病毒首先取了本地日期进行了判断,如果日期在2011年4月1日到2011年5月1日之间【好老的病毒,汗……】,则会触发后门,执行sub_4010A0函数,并且在1个小时之后强制重启电脑。
那么再看看sub_4010A0:
发现其对盘符:CDEFGHIJK,进行了遍历操作,并且利用GetDriveTypeA获取磁盘类型,如果是3(DRIVE_FIXED),即固定硬盘,触发400次sub_401000函数,以盘符和计数器做参数,主要代码:
wsprintfA(&FileName, "%c:\\%d", a1, a2);
v2 = CreateFileA(&FileName, 0x10000000u, 0, 0, 1u, 6u, 0);
SetFilePointer(v2, 0xC800000, 0, 0);
这里会把盘符和计数器进行组合文件名,生成200MB大小的系统文件填充磁盘,如果400个的话就是……每个磁盘填充400*200MB=78.125GB的垃圾文件……【好吧……真无聊……】
2、自启动分析
后门分析完毕,接下来看看如何完成的程序自启动。上面对程序MyDocuments.exe所在运行路径使用GetCurrentDirectoryA进行了获取,并使用GetDriveTypeA获取磁盘类型,如果是固定硬盘:
首先在当前盘符的Program files目录下,将程序平行目录下的WINLOGON.EXE拷贝到C:\\Program Files\\Internet Explorer\\WINLOGON.exe,其中还调用了sub_4012C0、sub_4011E0、sub_4012A0和sub_401580四个函数,其中前三个和自启动有关:
sub_4012C0,判断C:\\Program Files\\Internet Explorer\\WINLOGON.exe是否已经存在,如果不存在,则进行拷贝。
sub_4011E0,主要做注册表操作,以完成自启动:
大概过程是将Program files下面的system.caca,添加到开机启动注册表software\\Microsoft\\Windows\\CurrentVersion\\Run,然后再设置.caca文件的运行方法,即利用C:\\Program Files\\Internet Explorer\\WINLOGON.exe来运行.caca,这样就变向开机启动了C:\\Program Files\\Internet Explorer\\WINLOGON.exe。
sub_4012A0:创建system.caca
3、文件隐藏与诱导点击
sub_401580主要完成了这个功能,看看当判断在移动磁盘里面点击时:
主要功能在sub_4013a0中:
首先拷贝生产MyDocument.exe,然后新建MyDocument文件夹,将属性设置为6(FILE_ATTRIBUTE_HIDDEN | FILE_ATTRIBUTE_SYSTEM),然后把其他U盘文件移动进去,这样就出现了之前那一幕……
但是这样一个U盘摆渡病毒,只是为了触发2011年的一个时间后门?……
|
免费评分
-
查看全部评分
|
发帖前要善用【论坛搜索】功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。 |
|
|
|
|
|
|
[复制链接]
发表于 2015-6-11 22:30
