本帖最后由 龙飞雪 于 2015-8-2 09:28 编辑
一、基本信息
- 样本名称:1q8JRgwDeGMofs.exe
- 病毒名称:Worm.Win32.Agent.ayd
- 文件大小:165384 字节
- 文件MD5:7EF5D0028997CB7DD3484A7FBDE071C2
- 文件SHA1:DA70DDC64F517A88F42E1021C79D689A76B9332D
二、分析样本使用的工具
- IDA5.5
- OnlyDebug
- RadASM
- Notepad++以及EditPlus
三、部分具体的病毒行为分析
1. 获取当前模块感染1q8JRgwDeGMofs.exe文件的路径,然后将该文件即病毒母体的数据读到内存中。
//获取当前模块的感染1q8JRgwDeGMofs.exe文件的路径
//读取感染1q8JRgwDeGMofs.exe文件的数据到内存
//读取感染1q8JRgwDeGMofs.exe文件的数据到内存返回内存缓冲区指针
2. 获取临时文件的目录,拼接字符串构造文件路径:"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\感染1q8JRgwDeGMofs.exe” //获取系统临时文件的目录"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\.
//拼接字符串得到:"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\感染1q8JRgwDeGMofs.exe”
3. 对字符串标记"%A1%FBI"进行解密得到一个特征字符串,然后通过该特征字符串定位到感染1q8JRgwDeGMofs.exe文件的附加数据段,获取附加数据,再将该附加数据回写到感染1q8JRgwDeGMofs.exe文件中构建一个新的感染1q8JRgwDeGMofs.exe文件,然后调用函数CreateProcess创建一个感染1q8JRgwDeGMofs.exe进程。
//解密字符串"%A1%FBI"
//拷贝原来的病毒母体感染1q8JRgwDeGMofs.exe文件到系统临时文件目录下
//在病毒母体所在的路径创建新的感染1q8JRgwDeGMofs.exe文件,虽然新创建的文件与原来的病毒母体文件的路径和名称一样但是新创建的文件里的数据却不是原来的也就是说新创建的同名文件的数据时原来病毒母体文件的附加数据的内容。
//CreateProcess运行刚才创建与原病毒母体同名但是文件数据是原病毒母体附加数据内容的文件,创建进程感染1q8JRgwDeGMofs。
4. 感染文件的其他的行为 //设置感染样本文件感染1q8JRgwDeGMofs.exe的属性为隐藏。
//判断文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\感染1q8JRgwDeGMofs.exe.lj是否存在
//存在该文件--删除"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\感染1q8JRgwDeGMofs.exe.lj”文件
//将感染样本的文件数据拷贝到文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\感染1q8JRgwDeGMofs.exe.lj中
//将感染样本的文件数据拷贝到文件"C:\DOCUME~1\ADMINI~1\LOCALS~1\Temp\感染1q8JRgwDeGMofs.exe1"中
5.附上感染样本的附加数据的截图:
病毒样本的行为比较多,没有全面的分析,仅仅分析了该PE感染病毒的病毒数据的释放和病毒运行起来的过程,不是很复杂。病毒分析很重要的一个过程就是病毒行为的总结和描述,本人不太会总结,慢慢来,将分析进行到底。
| 
发表于 2015-7-30 17:09
|
发表于 2016-3-6 23:06
